Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Limitez les fonctionnalités en préversion dans Microsoft Foundry pour maintenir les environnements de production axés sur les fonctionnalités en disponibilité générale. Cet article aborde deux approches :
- Étiquettes Azure masquent les surfaces d’aperçu dans le portail Foundry (portails actuels et classiques).
- Les rôles RBAC personnalisés bloquent des opérations d’aperçu spécifiques au niveau de l’API.
Utilisez des balises pour la suppression au niveau du portail et utilisez des rôles RBAC personnalisés lorsque vous devez bloquer des opérations ou des autorisations spécifiques.
Conditions préalables
- Ressource et projet Foundry.
- Autorisation d’ajouter ou de modifier des balises dans votre étendue cible dans Azure. Par exemple, Contributeur ou Contributeur d’étiquettes.
- Un abonnement Azure disposant d’autorisations pour créer des rôles personnalisés dans l’étendue où vous souhaitez que le rôle soit assignable (par exemple, le rôle Propriétaire ou le rôle Administrateur de l’accès utilisateur).
- Autorisations d’attribution de rôles dans l’étendue où vous attribuez l’accès (par exemple, le rôle d'administrateur du contrôle d'accès basé sur les rôles ou le rôle d'administrateur de l’accès utilisateur).
- Azure CLI installé et connecté, si vous créez des rôles à partir de la ligne de commande. Pour plus d’informations, consultez Installer le Azure CLI.
- Accès au portail Azure.
Appliquer la balise
Appliquez la balise de désactivation de la fonctionnalité en préversion au niveau de l’étendue gérée par votre organisation.
Important
Utilisez la clé et la valeur exactes de balise :
- Clé de balise :
AZML_DISABLE_PREVIEW_FEATURE - Valeur de balise :
true
Appliquez la balise à l’étendue qui correspond à vos besoins de gouvernance :
- Abonnement pour la gouvernance à l’échelle de l’organisation.
- Groupe de ressources pour couvrir toutes les ressources d’un groupe.
- Ressource Foundry pour un contrôle granulaire.
Remplacez <resource-id> par l’ID de ressource complet de votre abonnement, groupe de ressources ou ressource Foundry.
az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true
Pour rechercher l’ID de ressource d’une ressource Foundry :
az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv
Supprimer la balise pour réactiver les fonctionnalités d’aperçu
Pour restaurer les fonctionnalités d’aperçu, supprimez la AZML_DISABLE_PREVIEW_FEATURE balise.
az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true
Après avoir supprimé la balise, actualisez le portail Foundry ou déconnectez-vous et reconnectez-vous. Les fonctionnalités en préversion réapparaîtnt en quelques minutes.
Vérifier la suppression dans les deux expériences du portail
Une fois la balise enregistrée, laissez quelques minutes pour la propagation, puis vérifiez le comportement dans les deux expériences.
- Ouvrez Microsoft Foundry.
- Ouvrez votre projet étiqueté.
- Vérifiez que les fonctionnalités d’interface utilisateur en préversion uniquement sont masquées.
- Dans le portail Classic, l’outil fonctionnalités en préversion en haut à droite est désactivé.
- Dans le nouveau portail, vous ne verrez aucune étiquette PREVIEW , car les fonctionnalités de la préversion ne seront plus visibles.
- Basculez entre les expériences nouvelles et classiques à l’aide de New Foundry et validez le même comportement.
Résultat attendu : les fonctionnalités en préversion sont masquées dans les expériences du portail Foundry nouvelles et classiques.
Résoudre les problèmes de suppression
Utilisez le tableau suivant lorsque la suppression ne se comporte pas comme prévu.
| Symptôme | Cause | Résolution |
|---|---|---|
| Les fonctionnalités d’aperçu s’affichent toujours après l’application de la balise. | La clé ou la valeur de balise est incorrecte. | Vérifiez que la clé de balise correspond exactement à AZML_DISABLE_PREVIEW_FEATURE et que sa valeur est true, en respectant la casse. Enregistrez à nouveau le tag. |
| La balise est bien appliquée, mais seules certaines étendues sont désactivées. | La balise est appliquée à une portée plus restreinte que prévu. | Vérifiez que la balise est appliquée à l’étendue de gouvernance prévue (abonnement, groupe de ressources ou ressource). Appliquez-le à une étendue plus large si nécessaire. |
| Les fonctionnalités d’aperçu réapparaîtnt après quelques minutes. | La session du navigateur utilise un état mis en cache. | Déconnectez-vous et reconnectez-vous, ou effacez le cache du navigateur et actualisez le portail Foundry. |
| Impossible d’ajouter ou de modifier la balise. | Votre compte ne dispose pas d’autorisations de balise pour ce périmètre. | Vérifiez que vous disposez du rôle Contributeur ou Contributeur d’étiquettes dans l’étendue cible. |
| Les fonctionnalités en préversion s’affichent toujours après avoir vérifié l’étendue, l’étiquette et les autorisations. | Un délai de propagation possible ou un bogue du produit. | Attendez quelques minutes pour la propagation. Si le problème persiste, déposez une demande de support. |
Bloquer les fonctionnalités de version préliminaire avec des rôles RBAC personnalisés
Vous pouvez bloquer l’accès à des fonctionnalités d’aperçu spécifiques en créant un rôle de Azure personnalisé qui exclut les autorisations correspondantes, puis en affectant ce rôle aux utilisateurs.
Étant donné que vous ne pouvez pas modifier les rôles intégrés, vous créez un rôle personnalisé qui utilise notDataActions (ou notActions pour les fonctionnalités du plan de contrôle comme le suivi) pour exclure les autorisations que vous souhaitez bloquer.
Le tableau suivant récapitule les fonctionnalités d’aperçu que vous pouvez bloquer et le type d’autorisations à exclure.
| Fonctionnalité d’aperçu | Chemin du fournisseur de ressources | Type d’autorisation | Champ d’exclusion |
|---|---|---|---|
| Service de l’agent | Microsoft.CognitiveServices/accounts/AIServices/agents/* |
Manipulation des données | notDataActions |
| Présentation du contenu | Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* |
Manipulation des données | notDataActions |
| Réglage précis |
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* et chemins associés |
Manipulation des données | notDataActions |
| Évaluations | Microsoft.CognitiveServices/accounts/AIServices/evaluations/* |
Manipulation des données | notDataActions |
| Sécurité du contenu | Microsoft.CognitiveServices/accounts/ContentSafety/* |
Manipulation des données | notDataActions |
| Traçage | Microsoft.Insights/* |
Action du plan de contrôle | notActions |
Créer un rôle personnalisé qui bloque une fonctionnalité d’aperçu
Cette section décrit la création d’une définition de rôle personnalisée et son affectation à un utilisateur. L’exemple bloque le service Agent, mais vous pouvez remplacer toutes les actions de données des sections de fonctionnalités de cet article.
Étape 1 : Définir le rôle JSON
Créez un fichier JSON nommé custom-role.json avec le contenu suivant. Remplacez <subscription-id> par votre ID d’abonnement Azure et ajoutez les actions de données que vous souhaitez bloquer à notDataActions.
{
"properties": {
"roleName": "Foundry custom role (preview features blocked)",
"description": "Custom role that excludes specific Foundry preview features.",
"assignableScopes": [
"/subscriptions/<subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/agents/write",
"Microsoft.CognitiveServices/accounts/AIServices/agents/read",
"Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
]
}
]
}
}
Conseil
Si vous clonez un rôle existant ou utilisez des autorisations génériques dans dataActions, ajoutez les actions de données de fonctionnalité en préversion à notDataActions afin qu'elles soient exclues par le rôle. Pour le suivi, utilisez notActions plutôt, car le suivi utilise des actions de plan de contrôle.
Étape 2 : Créer le rôle
Étape 3 : Attribuer le rôle
az role assignment create \
--role "Foundry custom role (preview features blocked)" \
--assignee "<user-email-or-object-id>" \
--scope "/subscriptions/<subscription-id>"
Étape 4 : Vérifier l’attribution de rôle
Vérifiez que le rôle personnalisé exclut les autorisations attendues.
Répertoriez les attributions de rôles pour l’utilisateur et vérifiez que le rôle personnalisé s’affiche :
az role assignment list --assignee "<user-email-or-object-id>" --output table
Affichez la définition de rôle personnalisée pour confirmer notDataActions que les actions de données attendues sont les suivantes :
az role definition list --name "Foundry custom role (preview features blocked)" --output json
Actions de données des fonctionnalités en préversion
Chacune des sections suivantes répertorie les autorisations d’une fonctionnalité d’aperçu. Ajoutez les actions de données que vous souhaitez bloquer à notDataActions dans votre définition de rôle personnalisée, à l’exception du traçage, qui utilise des actions de plan de contrôle dans notActions.
Service d’agent
Ajoutez ces actions de données à votre définition de rôle personnalisée dans notDataActions :
Microsoft.CognitiveServices/accounts/AIServices/agents/writeMicrosoft.CognitiveServices/accounts/AIServices/agents/readMicrosoft.CognitiveServices/accounts/AIServices/agents/delete
Pour bloquer toutes les opérations du service d’agent avec une seule entrée, utilisez l’expression générique Microsoft.CognitiveServices/accounts/AIServices/agents/*.
Compréhension du contenu
Ajoutez ces actions de données à votre définition de rôle personnalisée dans notDataActions :
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*
Si votre équipe étiquette des documents dans Foundry, bloquez également les actions d’étiquetage des données. Dans l’éditeur de rôle personnalisé du portail Azure, recherchez labelingProjects sous le Microsoft. CognitiveServices fournisseur de ressources pour rechercher les opérations disponibles, telles que :
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete
Note
Vérifiez les actions de données exactes labelingProjects dans le portail Azure, car les opérations disponibles peuvent changer à mesure que la fonctionnalité évolue.
Réglage précis
Le réglage fin utilise plusieurs trajectoires d'action de données sous Microsoft.CognitiveServices/accounts/OpenAI/. Ajoutez chaque chemin d’accès que vous souhaitez bloquer à notDataActions dans votre définition de rôle personnalisée.
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*Microsoft.CognitiveServices/accounts/OpenAI/files/*Microsoft.CognitiveServices/accounts/OpenAI/uploads/*Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*Microsoft.CognitiveServices/accounts/OpenAI/evals/*Microsoft.CognitiveServices/accounts/OpenAI/models/*
Si votre équipe exécute des travaux RLHF, vous pouvez également ajouter :
Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*
Important
Chaque chemin répertorié est une étendue d’action de données distincte. Le fine-tunes/* caractère générique correspond uniquement aux opérations sous fine-tunes/. Pour bloquer complètement Fine-tuning, incluez tous les chemins répertoriés.
Traçage
Important
Le suivi utilise Azure Monitor, qui est un service de plan de gestion. Les autorisations répertoriées dans cette section sont des actions, et non des actions de données. Ajoutez-les à notActions (pas notDataActions) dans votre définition de rôle personnalisée.
Ajoutez ces actions à notActions dans votre définition de rôle personnalisée :
Microsoft.Insights/alertRules/readMicrosoft.Insights/diagnosticSettings/readMicrosoft.Insights/logDefinitions/readMicrosoft.Insights/metricdefinitions/readMicrosoft.Insights/metrics/read
Le blocage de ces actions de lecture empêche les utilisateurs d’afficher le volet Suivi dans le portail Foundry. Les utilisateurs qui ont besoin d'un accès Tracing nécessitent un rôle distinct comprenant les actions de lecture Microsoft.Insights, comme le rôle Lecteur sur une ressource Application Insights connectée.
Évaluations
Ajoutez ces actions de données à votre définition de rôle personnalisée dans notDataActions :
Microsoft.CognitiveServices/accounts/AIServices/evaluations/writeMicrosoft.CognitiveServices/accounts/AIServices/evaluations/readMicrosoft.CognitiveServices/accounts/AIServices/evaluations/delete
Sécurité du contenu
Ajoutez ces actions de données à votre définition de rôle personnalisée dans notDataActions :
Microsoft.CognitiveServices/accounts/ContentSafety/*
Pour bloquer uniquement des opérations de sécurité du contenu spécifiques au lieu de toutes les opérations, recherchez ContentSafety dans l’éditeur de rôle personnalisé du portail Azure et sélectionnez les actions de données individuelles que vous souhaitez exclure.
Résoudre les problèmes RBAC
| Symptôme | Cause | Résolution |
|---|---|---|
| L’utilisateur peut toujours accéder à une fonctionnalité bloquée. | L’attribution de rôle n’a peut-être pas encore propagée ou l’utilisateur a un autre rôle qui accorde l’autorisation bloquée. | Attendez quelques minutes pour la propagation. Vérifiez toutes les attributions de rôles pour l’utilisateur avec az role assignment list --assignee "<user>". Supprimez les rôles en conflit qui accordent les actions sur les données bloquées. |
| La création de rôle personnalisé échoue avec l’« action de données non valide ». | Le chemin de l’action de donnée peut être mal orthographié ou le fournisseur de ressources peut ne pas être inscrit. | Vérifiez le chemin d’action de données dans l’éditeur de rôle personnalisé du portail Azure. Vérifiez que le fournisseur de ressources Microsoft.CognitiveServices est inscrit dans votre abonnement. |
Les autorisations de suivi ne sont pas bloquées après l’ajout à notDataActions. |
Le suivi utilise des actions de plan de contrôle (Microsoft.Insights), et non des actions de données. |
Déplacez les entrées Microsoft.Insights de notDataActions vers notActions dans la définition de rôle. |
Contenu connexe
- contrôle d’accès basé sur les rôles pour Microsoft Foundry
- Authentication et autorisation dans Microsoft Foundry
- Créer ou mettre à jour des rôles personnalisés Azure à l’aide du portail Azure
- Créer ou mettre à jour des rôles personnalisés Azure à l’aide de Azure CLI
- Assigner des rôles Azure à l’aide du portail Azure