Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al trabajar con agentes hosted en Microsoft Foundry, es importante comprender los distintos permisos implicados. Hay varias clases de permisos implicados en el desarrollo de agentes hospedados, que abarcan el plano de control de Azure Resource Manager y el plano de datos Foundry:
- Permisos concedidos a usuarios o entidades de seguridad que trabajan con recursos de Foundry
- Permisos concedidos al proyecto Foundry
- Permisos concedidos al agente
Este artículo es un complemento del control de acceso basado en Role para Microsoft Foundry, que presenta conceptos de control de acceso basado en rol (RBAC) y los roles integrados disponibles en Microsoft Foundry. Debe familiarizarse con ese artículo antes de continuar. En este artículo se tratan las operaciones implicadas en el desarrollo y la implementación de agentes hospedados, los permisos necesarios para realizar esas operaciones y qué roles integrados cubren esos permisos.
Para ver las tareas de implementación y ciclo de vida de un extremo a otro, consulte Implementación de un agente hospedado y Administración del ciclo de vida del agente hospedado. Para conocer el comportamiento específico de la identidad, consulte Identidad del agente.
Important
Siempre cumple el principio de privilegios mínimos al asignar permisos. Conceda solo los permisos necesarios para que los usuarios y agentes realicen sus tareas y revise y actualice periódicamente los permisos según sea necesario.
Roles de este artículo
Fundición de IA de Azure permisos abarcan dos planos: el plano de control de Azure Resource Manager (ARM) y el plano de datos Foundry. Los roles Propietario y Colaborador tienen permisos amplios del plano de control arm, pero no incluyen permisos de plano de datos. Las operaciones del plano de datos, como crear agentes o interactuar con ellos, requieren roles de Fundición de IA de Azure específicos, como Azure usuario de IA, Azure AI Project Manager o Azure propietario de IA.
En este artículo se hace referencia a los siguientes roles integrados. Para obtener información sobre las definiciones de roles personalizados, consulte Azure roles personalizados.
| Role | Propósito en la implementación del agente hospedado |
|---|---|
| Owner | Permisos completos para crear y administrar recursos de Azure |
| Contributor | Creación y administración de recursos de Azure |
| Administrador de Access Control basado en Access Control | Creación de asignaciones de roles en recursos de Azure |
| Azure usuario de IA | Creación de agentes, realización de inferencia de modelos e interacción con agentes |
| Administrador de proyectos de Azure AI | Administrar proyectos, crear agentes, realizar inferencia de modelos, interactuar con agentes y crear asignaciones de roles |
| Azure propietario de la cuenta de AI | Cree implementaciones, administre proyectos y controle los recursos de nivel de cuenta. Cree asignaciones de roles solo para las operaciones del plano de control. No se pueden realizar operaciones del plano de datos, como crear o interactuar con agentes. |
| Azure propietario de IA | Permisos de plano de control total y plano de datos sobre los recursos de la cuenta, pero no puede crear asignaciones de roles |
| Lector del repositorio de Container Registry | Extracción de imágenes de contenedor del registro |
| Escritor de repositorios de Container Registry | Inserción de imágenes de contenedor en el registro |
| AcrPull | Extracción de imágenes de contenedor del registro |
| AcrPush | Inserción de imágenes de contenedor en el registro |
| Log Analytics Lector de datos | Lee los datos de telemetría para las evaluaciones. |
| Usuario de OpenAI de Cognitive Services | Acceder directamente a los puntos de conexión de OpenAI de nivel de cuenta |
| Usuario de Cognitive Services | Acceder directamente a las funcionalidades de nivel de cuenta (Voz, Visión, Lenguaje) |
Caution
Aunque podría parecer un rol adecuado para un desarrollador que trabaja con agentes hospedados, el Azure AI Developer rol integrado no es suficiente para escenarios de agente hospedados. Este rol tiene como ámbito Azure Machine Learning y Foundry hubs, no a los recursos del proyecto Foundry usados por los agentes hospedados y no incluye los permisos de administración de recursos necesarios para la implementación del agente hospedado.
Diagnóstico rápido por síntoma
Use estos vínculos para saltar directamente a las secciones que abordan problemas comunes de permisos:
- No se puede crear el agente: consulte Creación del agente.
- El agente no puede acceder a los modelos: consulte Creación del agente y Acceso a la cuenta opcional.
- error Deployment: consulte Implementación del agente hospedado y Azure Container Registry setup
- Agent no puede extraer imágenes en tiempo de ejecución: consulte Azure Container Registry setup
- Error en la interacción del agente: consulte Interacción del agente.
- Error en la asignación de roles: consulte Creación de esa asignación de roles que requiere secciones y configuración de conexiones.
- No publicar el agente en Teams ni en M365 Copilot: vea Azure Bot Service setup
Arquitectura de la solución del agente hospedado
Una configuración de agente hospedada completada implica varios recursos de Azure, asignaciones de identidad y conexiones que funcionan conjuntamente. En el diagrama siguiente se muestran los componentes clave y sus relaciones:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
En el diagrama anterior se muestra cómo se organizan los recursos jerárquicamente y qué asignaciones de roles permiten la comunicación entre ellos. En las secciones siguientes se proporcionan requisitos de configuración detallados para cada componente.
Recursos de Azure necesarios
Cada implementación del agente hospedado requiere que estos recursos Azure estén configurados correctamente:
-
Una cuenta de Foundry
- Una asignación de roles permite que la identidad administrada del proyecto acceda a la cuenta para el acceso al modelo.
Azure AI Useres el rol integrado recomendado.
- Una asignación de roles permite que la identidad administrada del proyecto acceda a la cuenta para el acceso al modelo.
- Implementación de un modelo (en la cuenta)
-
Un proyecto Foundry (en la cuenta)
- El proyecto tiene una identidad administrada. El proyecto también obtiene un plano técnico del agente y una identidad del agente cuando se crea su primer agente.
- Una asignación de roles permite que la identidad del agente hospedado acceda al proyecto para el acceso al modelo.
Azure AI Useres el rol integrado recomendado. - Las asignaciones de roles permiten a los usuarios o entidades de seguridad cliente interactuar con agentes en el proyecto en tiempo de ejecución.
Azure AI Useres el rol integrado recomendado.
-
Un agente hospedado (en el proyecto)
- El agente obtiene automáticamente un plano técnico del agente y una identidad del agente.
- Una versión del agente (en el objeto del agente hospedado)
-
An Azure Container Registry (ACR)
- Una asignación de roles permite que la identidad administrada del proyecto extraiga imágenes del registro. Lector del repositorio de Container Registry es el rol integrado recomendado.
- Una asignación de roles permite que un usuario o una entidad de servicio que implemente el agente para insertar imágenes en el registro. Container Registry Repository Writer es el rol integrado recomendado.
- Un componente de Application Insights
-
A área de trabajo de Log Analytics (vinculada al componente de Application Insights)
- Una asignación de roles permite que la identidad administrada del proyecto lea la telemetría de las evaluaciones. Log Analytics Lector de datos es el rol integrado recomendado.
-
Varios recursos de conexión (en el proyecto):
- Se crea una conexión para el Azure Container Registry, que usa el proyecto para la extracción de imágenes.
- Se crea una conexión para Application Insights, que el proyecto usa para emitir telemetría para sus agentes. Esta conexión no usa la identidad de forma predeterminada.
Algunos conjuntos de usuarios o entidades de seguridad necesitan permiso para crear y administrar estos recursos. En este artículo se presupone una configuración en la que los recursos de Azure están todos dentro del mismo grupo de recursos y muestra la concesión de acceso de escritura a través de ese grupo de recursos. Este enfoque de grupo de recursos es una configuración común para muchos equipos, pero la configuración específica puede variar. Si tiene una estrategia de organización de recursos diferente, es posible que tenga que dividir los permisos entre los grupos de recursos que use.
Esta lista no incluye recursos de red. Sin embargo, el usuario o la entidad de servicio que aprovisiona los recursos de Azure también pueden necesitar permiso para crear y administrar redes virtuales, subredes y puntos de conexión privados para proteger los recursos.
Agent applications
Si usa aplicaciones de agente, la lista también incluye:
-
Una aplicación de agente (en el proyecto)
- La aplicación del agente obtiene automáticamente un plano técnico del agente y una identidad del agente. Repita las asignaciones de roles para la identidad del agente hospedado con la identidad del agente de la aplicación del agente.
- Una implementación de agente (en la aplicación del agente)
configuración de recursos de Azure
Configuración de la cuenta de Foundry
La creación de una cuenta de Foundry requiere el permiso Microsoft.CognitiveServices/accounts/write en el ámbito del grupo de recursos.
| Built-in role | Scope | ¿Puede el receptor crear una cuenta de Foundry? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Usuario de Azure AI | Resource group | ✗ No |
| Gerente de Proyecto de Azure AI | Resource group | ✗ No |
| propietario de la cuenta de AI de Azure | Resource group | ✔ Yes |
| propietario de ia de Azure | Resource group | ✔ Yes |
La identidad administrada del proyecto necesita acceso a la cuenta de Foundry para realizar la inferencia del modelo a través del punto de conexión del proyecto. El acceso del proyecto está cubierto por el rol Azure AI User en el ámbito de la cuenta de Foundry. Esta asignación de roles se puede crear automáticamente cuando se crea el proyecto, en función de los permisos del usuario o la entidad de servicio que cree el proyecto.
Es posible que se necesiten más asignaciones de roles si el código del agente accede directamente al punto de conexión de OpenAI de nivel de cuenta u otras funcionalidades de nivel de cuenta que el punto de conexión del proyecto no realiza el proxy. Para obtener más información, consulte Acceso a la cuenta opcional.
Model deployment
La creación de una implementación de modelo requiere el permiso Microsoft.CognitiveServices/accounts/deployments/write en el ámbito de la cuenta de Foundry.
| Built-in role | Scope | ¿Puede asignar un modelo a una cuenta de Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Usuario de Azure AI | Foundry account | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry account | ✗ No |
| propietario de la cuenta de AI de Azure | Foundry account | ✔ Yes |
| propietario de ia de Azure | Foundry account | ✔ Yes |
Project setup
La creación de un proyecto foundry requiere el permiso Microsoft.CognitiveServices/accounts/projects/write en el ámbito de la cuenta de Foundry.
| Built-in role | Scope | ¿Se puede asignar un proyecto foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Usuario de Azure AI | Foundry account | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry account | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry account | ✔ Yes |
| propietario de ia de Azure | Foundry account | ✔ Yes |
Si el creador del proyecto tiene la capacidad de asignar el rol Azure AI User en el ámbito de la cuenta, el sistema crea automáticamente dos asignaciones de roles:
- Al creador del proyecto se le concede el rol Azure usuario de IA en el ámbito de la cuenta de Foundry.
- A la identidad administrada del proyecto se le concede el rol usuario de ia de Azure en el ámbito de la cuenta de Foundry.
Se necesita una asignación de roles similar para la identidad del agente en el proyecto. Para obtener más información, consulte la sección Creación del agente .
configuración de Azure Container Registry
La creación de un Azure Container Registry requiere el permiso Microsoft.ContainerRegistry/registries/write en el ámbito del grupo de recursos.
Note
En el caso de los agentes hospedados, el registro de contenedor debe ser accesible actualmente a través de su punto de conexión público. La colocación de ACR detrás de una red privada (punto de conexión privado con acceso a la red pública deshabilitada) no se admite actualmente. Para obtener la lista completa de restricciones de red, consulte Limitaciones.
| Built-in role | Scope | ¿Se puede asignar un registro de contenedor? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Usuario de Azure AI | Resource group | ✗ No |
| Gerente de Proyecto de Azure AI | Resource group | ✗ No |
| propietario de la cuenta de AI de Azure | Resource group | ✗ No |
| propietario de ia de Azure | Resource group | ✗ No |
La identidad administrada del proyecto necesita permisos para extraer la imagen de ACR. Hay dos roles integrados adecuados para esta tarea, que se deben asignar en el ámbito de recursos del registro de ACR:
- Lector del repositorio de Container Registry (preferido porque modela la extracción como una acción de datos)
- AcrPull
La creación de esa asignación de roles requiere el permiso Microsoft.Authorization/roleAssignments/write en el ámbito del registro de ACR.
Para obtener más información sobre cómo asignar roles en Azure, consulte Crear asignaciones de roles Azure.
| Built-in role | Scope | ¿Puede el receptor crear una asignación de roles? |
|---|---|---|
| Owner | ACR registry | ✔ Yes |
| Contributor | ACR registry | ✗ No |
| Usuario de Azure AI | ACR registry | ✗ No |
| Gerente de Proyecto de Azure AI | ACR registry | ✗ No1 |
| propietario de la cuenta de AI de Azure | ACR registry | ✗ No1 |
| propietario de ia de Azure | ACR registry | ✗ No |
| Administrador de Access Control basado en roles | ACR registry | ✔ Yes |
1 Estos roles tienen roleAssignments/write, pero solo están restringidos para asignar el rol de Azure AI User, que no cubre los permisos de ACR.
El usuario o la entidad de servicio que inserta imágenes en el registro también necesitan una asignación de roles. Para más información, consulte la sección Implementación del agente hospedado .
Configuración de Application Insights y Log Analytics
La creación de un recurso de Application Insights requiere el permiso Microsoft.Insights/components/write en el ámbito del grupo de recursos.
| Built-in role | Scope | ¿Puede el receptor crear un recurso de Application Insights? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Usuario de Azure AI | Resource group | ✗ No |
| Gerente de Proyecto de Azure AI | Resource group | ✗ No |
| propietario de la cuenta de AI de Azure | Resource group | ✗ No |
| propietario de ia de Azure | Resource group | ✗ No |
La creación de un área de trabajo de Log Analytics requiere el permiso Microsoft.OperationalInsights/workspaces/write en el ámbito del grupo de recursos.
| Built-in role | Scope | ¿Puede el receptor crear un área de trabajo de Log Analytics? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Usuario de Azure AI | Resource group | ✗ No |
| Gerente de Proyecto de Azure AI | Resource group | ✗ No |
| propietario de la cuenta de AI de Azure | Resource group | ✗ No |
| propietario de ia de Azure | Resource group | ✗ No |
Si tiene previsto usar la característica de evaluaciones, la identidad administrada del proyecto necesita permisos para leer desde el área de trabajo de Log Analytics. Para habilitar este acceso, conceda el rol Log Analytics Data Reader a la identidad administrada del proyecto en el ámbito del área de trabajo de Log Analytics.
La creación de esa asignación de roles requiere el permiso Microsoft.Authorization/roleAssignments/write en el ámbito del área de trabajo de Log Analytics.
Para obtener más información sobre cómo asignar roles en Azure, consulte Crear asignaciones de roles Azure.
| Built-in role | Scope | ¿Puede el receptor crear una asignación de roles? |
|---|---|---|
| Owner | área de trabajo de Log Analytics | ✔ Yes |
| Contributor | área de trabajo de Log Analytics | ✗ No |
| Usuario de Azure AI | área de trabajo de Log Analytics | ✗ No |
| Gerente de Proyecto de Azure AI | área de trabajo de Log Analytics | ✗ No1 |
| propietario de la cuenta de AI de Azure | área de trabajo de Log Analytics | ✗ No1 |
| propietario de ia de Azure | área de trabajo de Log Analytics | ✗ No |
| Administrador de Access Control basado en roles | área de trabajo de Log Analytics | ✔ Yes |
1 Estos roles tienen roleAssignments/write, pero solo están restringidos para asignar el rol Azure AI User, que no cubre los permisos de Log Analytics.
Connections setup
La creación de una conexión requiere el permiso Microsoft.CognitiveServices/accounts/projects/connections/write en el ámbito del proyecto Foundry.
| Built-in role | Scope | ¿Puede el receptor crear una conexión? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Usuario de Azure AI | Foundry project | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✔ Yes |
| propietario de ia de Azure | Foundry project | ✔ Yes |
El usuario o la entidad de servicio que crean las conexiones también necesitan la información de conexión para el componente de Application Insights y el registro de contenedor. El usuario o la entidad de servicio pueden proporcionar los detalles de conexión que crearon esos recursos o tener acceso de lectura a esos recursos.
Note
Los agentes hospedados suelen usar herramientas y conexiones que tienen como destino más recursos Azure. Esos recursos pueden requerir asignaciones de roles adicionales para la identidad de llamada o la identidad del agente en el ámbito del recurso de destino. Por ejemplo, las herramientas que acceden a Storage, Búsqueda de Azure AI, Key Vault o bases de datos suelen requerir sus propios permisos de plano de datos además de los permisos de configuración principales documentados en este artículo.
Agent applications
Si usa aplicaciones de agente, debe crear una aplicación de agente en el proyecto Foundry. La creación de una aplicación de agente requiere el permiso Microsoft.CognitiveServices/accounts/projects/applications/write en el ámbito del proyecto Foundry.
| Built-in role | Scope | ¿Puede el receptor crear una aplicación de agente? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Usuario de Azure AI | Foundry project | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✔ Yes |
| propietario de ia de Azure | Foundry project | ✔ Yes |
agentDeployment los objetos también son recursos de ARM, pero se crean como parte del proceso de implementación del agente hospedado. Para más información, consulte Implementación del agente hospedado.
Agent creation
Los agentes se crean a través de una operación de plano de datos. La creación de un agente requiere el permiso Microsoft.CognitiveServices/accounts/AIServices/agents/write en el ámbito del proyecto Foundry.
| Built-in role | Scope | ¿Puede asignar un agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Usuario de Azure AI | Foundry project | ✔ Yes |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✗ No |
| propietario de ia de Azure | Foundry project | ✔ Yes |
Dado que es posible que la identidad del agente solo esté disponible después de crear el agente, algunas asignaciones de roles no se pueden crear hasta después de este punto. Para realizar la inferencia de modelos con el punto de conexión del proyecto, la identidad del agente requiere los permisos siguientes en el ámbito del proyecto Foundry:
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(para definiciones personalizadas, useMicrosoft.CognitiveServices/accounts/AIServices/agents/*/read) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(para definiciones personalizadas, useMicrosoft.CognitiveServices/accounts/AIServices/agents/*/write)
| Built-in role | Scope | ¿El agente asignado puede realizar la inferencia del modelo? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Usuario de Azure AI | Foundry project | ✔ Yes |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✗ No |
| propietario de ia de Azure | Foundry project | ✔ Yes |
Tip
Azure AI User es el rol integrado con privilegios mínimos que puede realizar la inferencia de modelos con el punto de conexión del proyecto. Sin embargo, incluye un conjunto más amplio de permisos que estrictamente necesario para esta operación. Para reducir el privilegio proporcionado al agente, considere la posibilidad de crear un rol personalizado con solo Microsoft.CognitiveServices/accounts/AIServices/responses/*, Microsoft.CognitiveServices/accounts/AIServices/agents/*/read y Microsoft.CognitiveServices/accounts/AIServices/agents/*/write.
La creación de esa asignación de roles requiere el permiso Microsoft.Authorization/roleAssignments/write en el ámbito del proyecto Foundry.
Para obtener más información sobre cómo asignar roles en Azure, consulte Crear asignaciones de roles Azure.
| Built-in role | Scope | ¿Puede el receptor crear una asignación de roles? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✗ No |
| Usuario de Azure AI | Foundry project | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Sí para |
| propietario de la cuenta de AI de Azure | Foundry project | ✔ Sí para |
| propietario de ia de Azure | Foundry project | ✗ No |
| Administrador de Access Control basado en roles | Foundry project | ✔ Yes |
1 Ambos Azure AI Project Manager y Azure AI Account Owner tienen una restricción que solo pueden asignar el rol Azure AI User. Si tiene previsto usar una definición de rol personalizada para que el agente acceda al project, Azure AI Project Manager y Azure AI Account Owner no podrá asignar ese rol personalizado.
Important
Dado que se necesita una asignación de roles después de crear el agente, el usuario o la entidad de seguridad que crea el agente también necesita permiso para crear asignaciones de roles.
Azure AI Project Manager en el ámbito de project es la asignación de roles recomendada para los creadores de agentes, ya que ese rol incluye los permisos de plano de datos necesarios y la capacidad de asignar el rol Azure AI User.
Acceso opcional a la cuenta
Cuando se usa foundry SDK y el punto de conexión del proyecto para la inferencia del modelo, el proyecto realiza llamadas de inferencia a la implementación de nivel de cuenta mediante su propia identidad administrada. Sin embargo, si el código del agente omite el punto de conexión del proyecto y llama directamente al punto de conexión de OpenAI de nivel de cuenta (por ejemplo, https://{account}.cognitiveservices.azure.com), la identidad del agente necesita uno de los siguientes roles en el ámbito de la cuenta:
- Usuario de OpenAI de Cognitive Services : solo cubre las acciones de datos de OpenAI.
- Azure ai User: cubre todas las acciones de datos de CognitiveServices de la cuenta.
El punto de conexión del proyecto no realiza el proxy de las funcionalidades de nivel de cuenta. Estas funcionalidades incluyen Speech, Content Safety, Computer Vision, Document Intelligence, Language y Translator. Requieren una asignación de roles en el ámbito de la cuenta si el agente los accede directamente. Para estas funcionalidades, asigne uno de los siguientes roles en el ámbito de la cuenta:
- Usuario de Cognitive Services : trata las funcionalidades voz, visión, lenguaje y otras funcionalidades que no son de OpenAI.
- Azure usuario de IA: cubre todas las acciones de datos de CognitiveServices, incluidas OpenAI y las funcionalidades enumeradas anteriormente, con una única concesión.
Implementación del agente hospedado
Las operaciones de implementación del agente hospedado son operaciones del plano de control. Para obtener instrucciones paso a paso sobre la implementación, consulte Implementación de un agente hospedado.
Inserción de una imagen en el registro
El usuario o la entidad de servicio que implementa el agente necesita permiso para insertar la imagen en ACR. Hay dos roles integrados adecuados para esta tarea, que se deben asignar en el ámbito de recursos del registro de ACR:
- Escritor de repositorios de Container Registry (preferido porque modela la inserción como una acción de datos)
- AcrPush
Creación de una nueva versión del agente
La creación de un agente requiere el permiso Microsoft.CognitiveServices/accounts/AIServices/agents/write en el ámbito del proyecto Foundry.
| Built-in role | Scope | ¿Se puede asignar una versión del agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Usuario de Azure AI | Foundry project | ✔ Yes |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✗ No |
| propietario de ia de Azure | Foundry project | ✔ Yes |
Si usa aplicaciones de agente, también debe crear un agentDeployment objeto que haga referencia a una versión del agente recién implementada. Se trata de una operación del plano de administración. La creación de un objeto />
| Built-in role | Scope | ¿Puede asignar un agentDeployment objeto? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Usuario de Azure AI | Foundry account | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry account | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry account | ✔ Yes |
| propietario de ia de Azure | Foundry account | ✔ Yes |
Actualización del agente para usar la nueva versión
Si usa el punto de conexión del agente, la selección de versión se configura en el objeto del agente. La actualización del agente para usar la nueva versión requiere el permiso Microsoft.CognitiveServices/accounts/AIServices/agents/write en el ámbito del proyecto Foundry.
| Built-in role | Scope | ¿Puede asignar la versión del agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Usuario de Azure AI | Foundry project | ✔ Yes |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✗ No |
| propietario de ia de Azure | Foundry project | ✔ Yes |
Si en su lugar usa la aplicación del agente, la selección de versión se configura en el objeto de aplicación del agente. La actualización de la aplicación del agente para usar el nuevo objeto agentDeployment requiere el permiso Microsoft.CognitiveServices/accounts/projects/applications/write en el ámbito de la aplicación del agente.
| Built-in role | Scope | ¿Puede el receptor actualizar la aplicación del agente? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Usuario de Azure AI | Foundry account | ✗ No |
| Gerente de Proyecto de Azure AI | Foundry account | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry account | ✔ Yes |
| propietario de ia de Azure | Foundry account | ✔ Yes |
configuración de Azure Bot Service
La publicación del agente en Microsoft Teams o Microsoft 365 Copilot es opcional. Al hacerlo, el flujo de publicación realiza operaciones del plano de control para crear un recurso de Azure Bot Service y configurar sus canales y, a continuación, actualiza el agente o la aplicación del agente para permitir solicitudes de Bot Service.
Creación del servicio de bots
La creación del recurso de bot service requiere el permiso Microsoft.BotService/botServices/write en el ámbito del grupo de recursos.
| Built-in role | Scope | ¿Puede el receptor crear un servicio de bot? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Usuario de Azure AI | Resource group | ✗ No |
| Gerente de Proyecto de Azure AI | Resource group | ✗ No |
| propietario de la cuenta de AI de Azure | Resource group | ✗ No |
| propietario de ia de Azure | Resource group | ✗ No |
Note
Azure Bot Service es un tipo de recurso independiente de Foundry. Azure roles integrados con ámbito de IA no incluyen permisos de Microsoft.BotService/*.
Configuring channels
La configuración de los canales Teams y extensiones de Microsoft 365 en el servicio de bot requiere el permiso Microsoft.BotService/botServices/channels/write en el ámbito del recurso de bot service.
| Built-in role | Scope | ¿Puede configurar los canales asignados? |
|---|---|---|
| Owner | Bot service | ✔ Yes |
| Contributor | Bot service | ✔ Yes |
| Usuario de Azure AI | Bot service | ✗ No |
| Gerente de Proyecto de Azure AI | Bot service | ✗ No |
| propietario de la cuenta de AI de Azure | Bot service | ✗ No |
| propietario de ia de Azure | Bot service | ✗ No |
Actualización del agente o la aplicación del agente
El flujo de publicación establece Canales (Azure Bot Service) como modo de autenticación en el agente o la aplicación del agente. El objeto que se actualiza depende del escenario:
- Escenario de aplicación del agente: el objeto de aplicación del agente se actualiza. Se trata de una operación de escritura del plano de control. Se aplican los mismos requisitos de rol que se documentan en las aplicaciones del agente.
- Escenario de punto de conexión del agente: el objeto del agente se actualiza. Se trata de una operación de escritura del plano de datos. Se aplican los mismos requisitos de rol que se documentan en Creación de una nueva versión del agente.
Para obtener instrucciones paso a paso sobre la publicación en Teams o Copilot M365, consulte Publish agents to Microsoft 365 Copilot and Microsoft Teams.
Agent interaction
La interacción con el agente requiere que el usuario o la entidad de servicio que llama tengan un permiso de plano de datos. Para interactuar con una aplicación agent, necesitan Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action en el ámbito de la aplicación del agente.
| Built-in role | Scope | ¿Puede el destinatario interactuar con el agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Usuario de Azure AI | Foundry project | ✔ Yes |
| Gerente de Proyecto de Azure AI | Foundry project | ✔ Yes |
| propietario de la cuenta de AI de Azure | Foundry project | ✗ No |
| propietario de ia de Azure | Foundry project | ✔ Yes |
Agent observability
Visualización de datos de telemetría
El acceso a los datos de telemetría del agente requiere permisos de lectura en el recurso de Application Insights. Esto incluye la visualización de seguimientos, registros y métricas a través del portal de Azure, el portal foundry, las API y las herramientas de supervisión.
Asigne lector de supervisión en el ámbito del recurso de Application Insights. Los permisos */read de este rol acceden a los datos del área de trabajo de Log Analytics subyacentes sin necesidad de una asignación de ámbito de área de trabajo independiente.
Si necesita trabajar directamente en el área de trabajo de Log Analytics, asigne también Log Analytics Reader en el ámbito del área de trabajo.
| Built-in role | Scope | ¿Se pueden asignar datos de telemetría del agente de acceso? |
|---|---|---|
| Owner | Application Insights | ✔ Yes |
| Contributor | Application Insights | ✔ Yes |
| Usuario de Azure AI | Application Insights | ✗ No (ve métricas, pero no seguimientos) |
| Gerente de Proyecto de Azure AI | Application Insights | ✗ No |
| propietario de la cuenta de AI de Azure | Application Insights | ✗ No (ve métricas, pero no seguimientos) |
| propietario de ia de Azure | Application Insights | ✗ No |
| Monitoring Reader | Application Insights | ✔ Yes |
| lector de Log Analytics | área de trabajo de Log Analytics | ✔ Sí (desde el área de trabajo directamente) |
Presentación de costos en moneda de facturación
La visualización de los costos en la moneda de facturación en el portal de Foundry requiere el permiso Microsoft.Billing/billingProperty/read. Este permiso requiere una asignación con ámbito de cuenta de facturación o suscripción. El ámbito del grupo de recursos no cubre este permiso.
Este permiso es para la comodidad de visualización del portal y no es necesario para la funcionalidad del agente hospedado. Puede omitir este permiso de forma segura para la mayoría de los usuarios.
| Built-in role | Scope | ¿Puede el receptor ver los costos en la moneda de facturación? |
|---|---|---|
| Owner | Subscription | ✔ Yes |
| Contributor | Subscription | ✔ Yes |
| Lector de Cost Management | Subscription | ✔ Yes |
| Usuario de Azure AI | Subscription | ✗ No |
Related content
- Agentes hospedados: obtenga información sobre la arquitectura y el ciclo de vida del agente hospedado.
- Control de acceso basado en Microsoft Foundry: Revise los roles, ámbitos y patrones de asignación integrados.
- Identidad del agente: comprenda cómo difieren la identidad del agente y la identidad administrada del proyecto.