Stratégie intégrée pour le déploiement de modèles dans le portail Microsoft Foundry

Azure Policy fournit des définitions de stratégie intégrées qui vous aident à régir le déploiement de modèles IA dans Microsoft portail Foundry. Vous pouvez utiliser ces stratégies pour contrôler les modèles que vos développeurs peuvent déployer dans le portail Foundry.

Conditions préalables

Un compte Azure avec un abonnement actif. Si vous n'en possédez pas, créez un compte Azure gratuit. Votre compte Azure vous permet d’accéder au portail Foundry.
Autorisations de création et d’affectation de stratégies. Pour créer et affecter des stratégies, vous devez être un Propriétaire ou Contributeur de stratégie de ressources au niveau de l’abonnement ou du groupe de ressources Azure.
Familiarité avec Azure Policy. Pour plus d’informations, consultez Qu’est-ce que Azure Policy ?.

Affecter la stratégie

Azure CLI
portail Azure

Utilisez Azure CLI pour rechercher la définition de stratégie intégrée et l’affecter à une étendue.

Connectez-vous et sélectionnez l’abonnement dans lequel vous souhaitez travailler :
```
az login
az account set --subscription "<subscription-id>"
```

Recherchez l’ID de définition de stratégie pour la définition intégrée :

az policy definition list \
   --query "[?displayName=='Cognitive Services Deployments should only use approved Registry Models'].{name:name, id:id}" \
   --output table

Résultat attendu : une ligne qui inclut la stratégie id.

Créez un fichier de paramètres (exemple) :
```
{
   "effect": {
      "value": "Deny"
   },
   "allowedPublishers": {
      "value": ["OpenAI"]
   },
   "allowedAssetIds": {
      "value": [
         "azureml://registries/azure-openai/models/gpt-35-turbo/versions/3"
      ]
   }
}
```
Résultat attendu : fichier JSON qui correspond aux noms de votre éditeur approuvé et aux ID de modèle.

Important

Les noms de paramètres de cet exemple doivent correspondre à la définition de stratégie que vous attribuez. S'ils varient dans votre instance, mettez à jour les clés JSON pour qu'elles correspondent aux paramètres de la définition de stratégie.

Affectez la stratégie à une étendue (exemple : étendue de l’abonnement) :

az policy assignment create \
   --name "allow-only-approved-registry-models" \
   --display-name "Allow only approved registry models" \
   --scope "/subscriptions/<subscription-id>" \
   --policy "<policy-definition-id>" \
   --params @params.json

Résultat attendu : la commande retourne une charge utile JSON qui inclut l’affectation id.

Référence:

Dans le portail Azure, sélectionnez Policy à gauche de la page. Vous pouvez également rechercher la stratégie dans la barre de recherche en haut de la page.
À gauche du tableau de bord Azure Policy, sélectionnez Authoring>Definitions. Ensuite, recherchez Cognitive Services Deployments should only use approved Registry Models.
Sélectionnez Affecter pour affecter la politique :
- Étendue : sélectionnez l’étendue dans laquelle vous souhaitez affecter la stratégie. L’étendue peut être un groupe d’administration, un abonnement ou un groupe de ressources.
- Définition de stratégie : cette section a déjà la valeur Cognitive Services Deployments should only use approved Registry Models.
- Nom de l’affectation : entrez un nom unique pour l’affectation.
Vous pouvez conserver les valeurs par défaut pour le reste des champs ou les personnaliser selon les besoins de votre organisation.
Sélectionnez Suivant en bas de la page ou l’onglet Paramètres en haut de la page.
Sous l’onglet Paramètres , désactivez uniquement les paramètres qui ont besoin d’entrée ou de révision pour afficher tous les champs :
- Effet : défini sur Refuser.
  
  Note
  
  En utilisant l’option d’audit , vous pouvez configurer la stratégie pour journaliser les informations sur votre propre tableau de bord de conformité.
- Éditeurs de modèles autorisés : entrez une liste de noms d’éditeurs entre guillemets, séparés par des virgules. Voici un exemple qui montre où trouver un nom d’éditeur :
  1. Accédez au catalogue de modèles dans le portail Foundry.
  2. Sélectionnez un modèle (par exemple, GPT-5).
  3. Vous trouverez le nom de l’éditeur sur la carte de modèle, comme illustré dans la capture d’écran suivante. Par exemple, dans ce cas, c’est OpenAI.
- Identifiants (Id) de ressources autorisés : entrez une liste d'ID de ressources de modèle entre guillemets, séparés par des virgules.
  
  Pour obtenir les chaînes d’ID de ressource de modèle et les noms d’éditeur de modèle, procédez comme suit :
  1. Accédez au catalogue de modèles.
  2. Pour chaque modèle que vous souhaitez autoriser, sélectionnez le modèle pour afficher les détails. Dans les informations détaillées du modèle, copiez la valeur de l’ID de modèle . Par exemple, la valeur peut ressembler azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 au modèle GPT-3.5-Turbo.
    
    Important
    
    La valeur de l’ID de modèle doit correspondre exactement au modèle. Si l'ID du modèle ne correspond pas exactement, la stratégie ne fonctionne pas comme prévu.
  3. Sélectionnez l’onglet Vérifier + créer et vérifiez que l’attribution de stratégie est correcte. Lorsque vous êtes prêt, sélectionnez Créer pour affecter la stratégie.
  4. Informez vos développeurs que la stratégie est en place. Ils reçoivent un message d’erreur s’ils tentent de déployer un modèle qui ne figure pas dans la liste des modèles autorisés.

Surveiller la conformité

Pour surveiller la conformité à la stratégie, procédez comme suit :

Dans le portail Azure, sélectionnez Policy à gauche de la page. Vous pouvez également rechercher la stratégie dans la barre de recherche en haut de la page.
À gauche du tableau de bord Azure Policy, sélectionnez Compliance. Chaque attribution de stratégie est répertoriée avec l’état de conformité. Pour afficher plus de détails, sélectionnez l’attribution de stratégie.

Mettre à jour l’attribution de stratégie

Pour mettre à jour une attribution de stratégie existante avec de nouveaux modèles, procédez comme suit :

Dans le portail Azure, sélectionnez Policy à gauche de la page. Vous pouvez également rechercher la stratégie dans la barre de recherche en haut de la page.
À gauche du tableau de bord Azure Policy, sélectionnez Assignments et recherchez l’attribution de stratégie existante. Sélectionnez les trois points (...) situés à côté de l’affectation, puis choisissez l’option Modifier l’affectation.
Sous l’onglet Paramètres , mettez à jour les ID de ressource autorisés et les éditeurs de modèles autorisés avec les nouveaux ID de modèle approuvés et les noms de l’éditeur.
Dans l’onglet Révision + Enregistrer , sélectionnez Enregistrer pour mettre à jour l’attribution de stratégie.

Meilleures pratiques

Étendue granulaire : affectez des stratégies à l’étendue appropriée pour équilibrer le contrôle et la flexibilité. Par exemple, appliquez au niveau de l’abonnement pour contrôler toutes les ressources de l’abonnement ou appliquer au niveau du groupe de ressources pour contrôler les ressources d’un groupe spécifique.
Nomination des politiques : utilisez une convention de dénomination cohérente afin de faciliter l'identification de leur objectif. Incluez des informations telles que l’objectif et l’étendue dans le nom.
Balises : utilisez des balises pour catégoriser et gérer vos stratégies. Par exemple, les règles d’étiquetage par environnement (développement, test, prod) ou par service.
Documentation : Conservez les enregistrements des affectations et des configurations de stratégie à des fins d’audit. Documentez les modifications apportées à la stratégie au fil du temps.
Révisions régulières : passez régulièrement en revue les affectations de stratégie pour vous assurer qu’elles s’alignent sur les exigences de votre organisation.
Test : testez les stratégies dans un environnement hors production avant de les appliquer aux ressources de production.
Communication : assurez-vous que les développeurs connaissent les stratégies en place et comprennent les implications de leur travail.

Vérifier l’efficacité de la stratégie

Après avoir affecté la stratégie, vérifiez qu’elle fonctionne comme prévu :

Attendez au moins 15 minutes pour que l’attribution de stratégie prenne effet. Les nouvelles affectations ne s’appliquent pas instantanément.
Essayez de déployer un modèle qui n’est pas dans la liste autorisée. Si la stratégie utilise l’effet Refuser , le déploiement échoue avec une erreur de violation de stratégie.
Vérifiez que le déploiement d’un modèle approuvé réussit toujours.
Vérifiez le tableau de bord Compliance dans Azure Policy pour vérifier que la stratégie évalue correctement les ressources. Les ressources non conformes apparaissent dans un cycle d’évaluation de conformité (généralement jusqu’à 24 heures).

Résoudre les échecs d’affectation de stratégie

Symptôme	Cause	Résolution
Échec de l’attribution de stratégie avec une erreur d’autorisations	Votre compte n’a pas le rôle Propriétaire ou Contributeur de stratégie de ressource au niveau de l’étendue cible.	Attribuez le rôle requis et réessayez. Consultez les conditions préalables.
La stratégie ne bloque pas les déploiements non conformes	L’attribution de stratégie n’a pas encore été propagée, ou l’effet est défini sur Audit au lieu de Refuser.	Attendez au moins 15 minutes, puis réessayez. Vérifiez que le paramètre Effect est défini sur Refuser.
Le modèle approuvé est bloqué de manière inattendue	L’ID de ressource de modèle ou le nom de l’éditeur dans les paramètres de stratégie ne correspond pas exactement au modèle.	Comparez les valeurs des paramètres par rapport à la carte de modèle dans le catalogue de modèles. Les ID de ressource et les noms d’éditeur sont sensibles à la casse.
Le tableau de bord de conformité n’affiche aucune donnée	L’évaluation de conformité n’a pas encore été effectuée. Azure Policy évalue les nouvelles affectations dans les 24 heures.	Attendez le prochain cycle d’évaluation ou déclenchez une analyse d’évaluation à la demande.
Erreur d’incompatibilité de nom de paramètre lors de l’affectation	Les clés de paramètre JSON ne correspondent pas à la définition de stratégie.	Exécutez `az policy definition show --name "<definition-id>"` pour récupérer les noms de paramètres exacts de la définition. Utiliser `allowedPublishers` et `allowedAssetIds`.

vue d’ensemble Azure Policy
Vue d’ensemble du catalogue de modèles

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-29