Directiva integrada para la implementación de modelos en el portal de Microsoft Foundry

Azure Policy proporciona definiciones de directivas integradas que le ayudan a controlar la implementación de modelos de IA en Microsoft portal de Foundry. Puede usar estas directivas para controlar los modelos que los desarrolladores pueden implementar en el portal de Foundry.

Requisitos previos

Una cuenta de Azure con una suscripción activa. Si no tiene una, cree una cuenta de Azure gratuita. La cuenta de Azure le permite acceder al portal de Foundry.
Permisos para crear y asignar directivas. Para crear y asignar directivas, debe ser un Propietario o Colaborador de la política de recursos en el nivel de suscripción o de grupo de recursos de Azure.
Familiaridad con Azure Policy. Para obtener más información, consulte ¿Qué es Azure Policy?.

Use CLI de Azure para buscar la definición de directiva integrada y asignarla en un ámbito.

Inicie sesión y seleccione la suscripción en la que desea trabajar:
```
az login
az account set --subscription "<subscription-id>"
```

Busque el ID de la definición de política para la definición predeterminada.

az policy definition list \
   --query "[?displayName=='Cognitive Services Deployments should only use approved Registry Models'].{name:name, id:id}" \
   --output table

Resultado esperado: una fila que incluye la directiva id.

Cree un archivo de parámetros (ejemplo):
```
{
   "effect": {
      "value": "Deny"
   },
   "allowedPublishers": {
      "value": ["OpenAI"]
   },
   "allowedAssetIds": {
      "value": [
         "azureml://registries/azure-openai/models/gpt-35-turbo/versions/3"
      ]
   }
}
```
Resultado esperado: un archivo JSON que coincide con los nombres de publicador y los identificadores de modelo aprobados.

Importante

Los nombres de parámetro de este ejemplo deben coincidir con la definición de directiva que asigne. Si difieren en su entorno, actualice las claves JSON para que coincidan con los parámetros de definición de política.

Asigne la directiva en un ámbito (ejemplo: ámbito de suscripción):

az policy assignment create \
   --name "allow-only-approved-registry-models" \
   --display-name "Allow only approved registry models" \
   --scope "/subscriptions/<subscription-id>" \
   --policy "<policy-definition-id>" \
   --params @params.json

Resultado esperado: el comando devuelve una carga JSON que incluye la asignación id.

Referencia:

En el portal Azure, seleccione Policy en el lado izquierdo de la página. También puede buscar Directiva en la barra de búsqueda de la parte superior de la página.
En el lado izquierdo del panel de Azure Policy, seleccione Authoring>Definitions. A continuación, busque Cognitive Services Deployments should only use approved Registry Models.
Seleccione Asignar para asignar la directiva:
- Ámbito: seleccione el ámbito en el que desea asignar la directiva. El ámbito puede ser un grupo de administración, una suscripción o un grupo de recursos.
- Definición de directiva: esta sección ya tiene un valor de Cognitive Services Deployments should only use approved Registry Models.
- Nombre de asignación: escriba un nombre único para la asignación.
Puede mantener los valores predeterminados para el resto de los campos o personalizarlos según sea necesario para su organización.
Seleccione Siguiente en la parte inferior de la página o en la pestaña Parámetros de la parte superior de la página.
En la pestaña Parámetros, desmarque Mostrar solo los parámetros que necesitan entrada o revisión para ver todos los campos:
- Efecto: se establece en Denegar.
  
  Nota
  
  Mediante la opción auditoría , puede configurar la directiva para registrar información en su propio panel de cumplimiento.
- Modelos de editores permitidos: escriba una lista de nombres de editor entre comillas y separados por comas. Este es un ejemplo que muestra dónde buscar un nombre de publicador:
  1. Vaya al catálogo de modelos en el portal de Foundry.
  2. Seleccione un modelo (por ejemplo, GPT-5).
  3. Encontrará el nombre del publicador en la tarjeta de modelo, como se muestra en la captura de pantalla siguiente. Por ejemplo, en este caso es OpenAI.
- Id. de activos permitidos: introduzca una lista de identificadores de activos de modelo entre comillas, separados por comas.
  
  Para obtener las cadenas de identificador de recurso del modelo y los nombres del publicador de modelos, siga estos pasos:
  1. Vaya al catálogo de modelos.
  2. Para cada modelo que quiera permitir, seleccione el modelo para ver los detalles. En la información detallada del modelo, copie el valor Id. de modelo. Por ejemplo, el valor para el modelo GPT-3.5-Turbo podría parecer azureml://registries/azure-openai/models/gpt-35-turbo/versions/3.
    
    Importante
    
    El valor del ID del modelo debe coincidir exactamente con el modelo. Si el identificador del modelo no es una coincidencia exacta, la política no funciona como se esperaba.
  3. Seleccione la pestaña Revisar y crear y compruebe que la asignación de directiva es correcta. Cuando esté listo, seleccione Crear para asignar la directiva.
  4. Notifique a los desarrolladores que la directiva está en vigor. Reciben un mensaje de error si intentan implementar un modelo que no está en la lista de modelos permitidos.

Supervisión del cumplimiento

Para supervisar el cumplimiento de la directiva, siga estos pasos:

En el portal Azure, seleccione Policy en el lado izquierdo de la página. También puede buscar Directiva en la barra de búsqueda de la parte superior de la página.
En el lado izquierdo del panel de Azure Policy, seleccione Compliance. Cada asignación de directiva aparece con el estado de cumplimiento. Para ver más detalles, seleccione la asignación de política.

Actualizar la asignación de política

Para actualizar una asignación de directiva existente con nuevos modelos, siga estos pasos:

En el portal Azure, seleccione Policy en el lado izquierdo de la página. También puede buscar Directiva en la barra de búsqueda de la parte superior de la página.
En el lado izquierdo del panel de Azure Policy, seleccione Assignments y busque la asignación de directiva existente. Seleccione los puntos suspensivos (...) junto a la asignación y seleccione Editar asignación.
En la pestaña Parámetros , actualice Los identificadores de recurso permitidos y los publicadores de modelos permitidos con los nuevos identificadores de modelo y nombres de publicador aprobados.
En la pestaña Revisar y guardar , seleccione Guardar para actualizar la asignación de directiva.

Procedimientos recomendados

Ámbito pormenorizado: asigne directivas en el ámbito adecuado para equilibrar el control y la flexibilidad. Por ejemplo, aplique en el nivel de suscripción para controlar todos los recursos de la suscripción, o aplique en el nivel del grupo de recursos para controlar los recursos en un grupo específico.
Nomenclatura de directivas: use una convención de nomenclatura coherente para las asignaciones de directivas para facilitar la identificación del propósito de la directiva. Incluya información como el propósito y el ámbito en el nombre.
Etiquetas: use etiquetas para clasificar y administrar las directivas. Por ejemplo, etiqueta las directivas por entorno (desarrollo, prueba, prod) o por departamento.
Documentación: mantenga registros de asignaciones y configuraciones de directiva con fines de auditoría. Documente los cambios realizados en la directiva a lo largo del tiempo.
Revisiones periódicas: revise periódicamente las asignaciones de directivas para asegurarse de que se alinean con los requisitos de su organización.
Pruebas: pruebe las directivas en un entorno que no sea de producción antes de aplicarlas a los recursos de producción.
Comunicación: asegúrese de que los desarrolladores conozcan las directivas y comprendan las implicaciones de su trabajo.

Comprobación de la eficacia de la directiva

Después de asignar la directiva, compruebe que funciona según lo previsto:

Espere al menos 15 minutos para que la asignación de directiva tenga efecto. Las nuevas asignaciones no se aplican al instante.
Intente implementar un modelo que no esté en la lista de permitidos. Si la directiva usa el efecto Denegar , la implementación produce un error de infracción de directiva.
Confirme que la implementación de un modelo aprobado sigue teniendo éxito.
Compruebe el panel Compliance en Azure Policy para comprobar que la directiva evalúa los recursos correctamente. Los recursos no conformes aparecen en un ciclo de evaluación de cumplimiento (normalmente hasta 24 horas).

Solucionar problemas de asignación de políticas

Síntoma	Causa	Resolución
Error en la asignación de directivas debido a un error de permisos	La cuenta no tiene el rol Propietario o Colaborador de Directiva de Recursos en el ámbito de destino.	Asigne el rol necesario y vuelva a intentarlo. Consulte Requisitos previos.
La directiva no bloquea las implementaciones no compatibles	La asignación de directiva aún no se ha propagado o el efecto se configura en Audit en lugar de Denegar.	Espere al menos 15 minutos y vuelva a intentarlo. Compruebe que el parámetro Effect está establecido en Deny.
El modelo aprobado se bloquea inesperadamente	El identificador de recurso del modelo o el nombre del publicador en los parámetros de directiva no coincide exactamente con el modelo.	Compare los valores de parámetro con la tarjeta de modelo en el catálogo de modelos. Los ID de recurso y los nombres de publicador son sensibles a las mayúsculas y minúsculas.
El panel de cumplimiento no muestra datos	La evaluación de cumplimiento aún no se ha completado. Azure Policy evalúa las nuevas asignaciones en un plazo de 24 horas.	Espere al siguiente ciclo de evaluación o desencadene un examen de evaluación a petición.
Error de desajuste de nombre de parámetro durante la asignación	Las claves de parámetro JSON no coinciden con la definición de directiva.	Ejecute `az policy definition show --name "<definition-id>"` para recuperar los nombres de parámetro exactos de la definición. Use `allowedPublishers` y `allowedAssetIds`.

Información general sobre Azure Policy
Introducción al catálogo de modelos

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-30