Microsoft Foundry でホストされるエージェントを使用する場合は、関連するさまざまなアクセス許可を理解することが重要です。 ホスト型エージェントの開発には、Azure Resource Manager コントロール プレーンと Foundry データ プレーンにまたがるいくつかのクラスのアクセス許可が含まれます。
- Foundry リソースを操作するユーザーまたはプリンシパルに付与されるアクセス許可
- Foundry プロジェクトに付与されるアクセス許可
- エージェントに付与されたアクセス許可
この記事は、 ロールベースのアクセス制御 (RBAC) の概念と、Microsoft Foundry で使用できる組み込みロールを紹介する、Microsoft Foundry のロールベースのアクセス制御のコンパニオンです。 先に進む前に、その記事を理解しておく必要があります。 この記事では、ホストされたエージェントの開発とデプロイに関連する操作、それらの操作を実行するために必要なアクセス許可、およびそれらのアクセス許可に対応する組み込みロールについて説明します。
エンド ツー エンドのデプロイとライフサイクルのタスクについては、「 ホストされたエージェントのデプロイ 」および「 ホストされたエージェントのライフサイクルの管理」を参照してください。 ID 固有の動作については、「 エージェント ID」を参照してください。
Important
アクセス許可を割り当てるときは、常に最小特権の原則に従ってください。 ユーザーとエージェントがタスクを実行するために必要なアクセス許可のみを付与し、必要に応じてアクセス許可を定期的に確認および更新します。
この記事の役割
Azure AI Foundry のアクセス許可は、Azure Resource Manager (ARM) コントロール プレーンと Foundry データ プレーンの 2 つのプレーンにまたがります。 所有者 ロールと 共同作成者 ロールには、広範な ARM コントロール プレーンのアクセス許可がありますが、データ プレーンのアクセス許可は含まれません。 エージェントの作成や操作などのデータ プレーン操作には、 Azure AI ユーザー、Azure AI プロジェクト マネージャー、Azure AI 所有者などの特定の Azure AI Foundry ロールが必要 です。
この記事では、次の組み込みロールを参照します。 カスタム ロール定義の詳細については、 Azure カスタム ロールに関するページを参照してください。
| Role | ホストされたエージェントの展開の目的 |
|---|---|
| Owner | Azure リソースを作成および管理するための完全なアクセス許可 |
| Contributor | Azure リソースのデプロイおよび管理 |
| 役割ベースのアクセス制御管理者 | Azure リソースでロールの割り当てを作成する |
| Azure AI ユーザー | エージェントの作成、モデル推論の実行、エージェントとの対話 |
| Azure AI プロジェクト マネージャー | プロジェクトの管理、エージェントの作成、モデル推論の実行、エージェントとの対話、ロールの割り当ての作成 |
| Azure AI アカウント所有者 | デプロイを作成し、プロジェクトを管理し、アカウント レベルのリソースを処理します。 コントロール プレーン操作専用のロールの割り当てを作成します。 エージェントの作成や操作などのデータ プレーン操作を実行できません。 |
| Azure AI 所有者 | アカウント リソースに対するフル コントロール プレーンとデータ プレーンのアクセス許可は付与されますが、ロールの割り当てを作成することはできません |
| Container Registry リポジトリ閲覧者 | レジストリからコンテナー イメージをプルする |
| Container Registry リポジトリ ライター | コンテナー イメージをレジストリにプッシュする |
| AcrPull | レジストリからコンテナー イメージをプルする |
| AcrPush | コンテナー イメージをレジストリにプッシュする |
| Log Analytics データ閲覧者 | 評価のためのテレメトリ データの読み取り |
| Cognitive Services OpenAI ユーザー | アカウント レベルの OpenAI エンドポイントに直接アクセスする |
| Cognitive Services ユーザー | アカウント レベルの機能 (Speech、Vision、Language) に直接アクセスする |
Caution
ホストされたエージェントを使用する開発者にとって適切なロールと思われるかもしれませんが、 Azure AI Developer の組み込みロールは、ホストされるエージェントのシナリオでは不十分です。 このロールのスコープは、ホストされているエージェントによって使用される Foundry プロジェクト リソースではなく、Azure Machine Learning と Foundry ハブであり、ホストされるエージェントのデプロイに必要なリソース管理アクセス許可は含まれません。
症状による迅速な診断
アクセス許可の一般的な問題に対処するセクションに直接移動するには、次のリンクを使用します。
- エージェントを作成できない: エージェントの作成を参照してください
- エージェントがモデルにアクセスできない: エージェントの作成とオプションのアカウント アクセスを参照してください
- デプロイに失敗する: ホストされたエージェントのデプロイと Azure Container Registry のセットアップに関するページを参照してください
- エージェントが実行時にイメージをプルできない: Azure Container Registry のセットアップを参照してください
- エージェントの操作が失敗する: エージェントの操作を参照してください
- ロールの割り当てが失敗する: 「ロールの割り当ての作成に必要なセクションと接続のセットアップ」を参照してください
- Teams または M365 Copilot にエージェントを発行できない: Azure Bot Service のセットアップを参照してください
ホストされるエージェント ソリューションのアーキテクチャ
完了したホステッド エージェントのセットアップには、複数の Azure リソース、ID の割り当て、接続の連携が含まれます。 次の図は、主要なコンポーネントとその関係を示しています。
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
上の図は、リソースがどのように階層的に編成されているか、およびリソース間の通信を可能にするロールの割り当てを示しています。 次のセクションでは、各コンポーネントの詳細な構成要件について説明します。
必要な Azure リソース
ホストされるエージェントのデプロイごとに、次の Azure リソースを適切に構成する必要があります。
-
Foundry アカウント
- ロールの割り当てにより、プロジェクトのマネージド ID がモデル アクセス用のアカウントにアクセスできるようになります。
Azure AI Userは推奨される組み込みロールです。
- ロールの割り当てにより、プロジェクトのマネージド ID がモデル アクセス用のアカウントにアクセスできるようになります。
- モデルのデプロイ (アカウント内)
-
Foundry プロジェクト (アカウント内)
- プロジェクトにはマネージド ID があります。 プロジェクトでは、最初のエージェントの作成時にエージェントブループリントとエージェント ID も取得されます。
- ロールの割り当てにより、ホストされるエージェントのエージェント ID がモデル アクセスのためにプロジェクトにアクセスできるようになります。
Azure AI Userは推奨される組み込みロールです。 - ロールの割り当てにより、クライアント ユーザーまたはプリンシパルは実行時にプロジェクト内のエージェントと対話できます。
Azure AI Userは推奨される組み込みロールです。
-
ホストされるエージェント (プロジェクト内)
- エージェントは、エージェントブループリントとエージェント ID を自動的に取得します。
- エージェントのバージョン (ホストされているエージェント オブジェクト内)
-
Azure Container Registry (ACR)
- ロールの割り当てにより、プロジェクトのマネージド ID はレジストリからイメージをプルできます。 Container Registry Repository Reader は、推奨される組み込みロールです。
- ロールの割り当てにより、エージェントをデプロイするユーザーまたはサービス プリンシパルがレジストリにイメージをプッシュできます。 Container Registry Repository Writer は、推奨される組み込みロールです。
- Application Insights コンポーネント
-
Log Analytics ワークスペース (Application Insights コンポーネントにリンク)
- ロールの割り当てにより、プロジェクトのマネージド ID が評価用のテレメトリを読み取ることができます。 Log Analytics データ閲覧者 は、推奨される組み込みロールです。
-
複数の接続リソース (プロジェクト内):
- Azure Container Registry の接続が作成されます。この接続は、プロジェクトがイメージのプルに使用します。
- Application Insights の接続が作成されます。この接続は、プロジェクトがそのエージェントのテレメトリを出力するために使用します。 この接続では、既定では ID は使用されません。
一部のユーザーまたはプリンシパルには、これらのリソースを作成および管理するためのアクセス許可が必要です。 この記事では、Azure リソースがすべて同じリソース グループ内にある構成を前提とし、そのリソース グループに対する書き込みアクセス権の付与を示します。 このリソース グループアプローチは、多くのチームにとって一般的な構成ですが、特定のセットアップは異なる場合があります。 別のリソース組織戦略がある場合は、使用するリソース グループ間でアクセス許可を分割することが必要になる場合があります。
この一覧には、ネットワーク リソースは含まれません。 ただし、Azure リソースをプロビジョニングするユーザーまたはサービス プリンシパルには、リソースをセキュリティで保護するために、仮想ネットワーク、サブネット、およびプライベート エンドポイントを作成および管理するためのアクセス許可も必要になる場合があります。
Agent applications
エージェント アプリケーションを使用する場合、一覧には次も含まれます。
-
エージェント アプリケーション (プロジェクト内)
- エージェント アプリケーションは、エージェント ブループリントとエージェント ID を自動的に取得します。 ホストされるエージェントのエージェント ID に対して、エージェント アプリケーションのエージェント ID を使用してロールの割り当てを繰り返します。
- エージェントのデプロイ (エージェント アプリケーション内)
Azure リソースのセットアップ
Foundry アカウントのセットアップ
Foundry アカウントを作成するには、リソース グループのスコープで Microsoft.CognitiveServices/accounts/write アクセス許可が必要です。
| Built-in role | Scope | 担当者は Foundry アカウントを作成できますか? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure AI ユーザー | Resource group | ✗ No |
| Azure AI プロジェクトマネージャー | Resource group | ✗ No |
| Azure AI アカウント所有者 | Resource group | ✔ Yes |
| Azure AI 所有者 | Resource group | ✔ Yes |
プロジェクトのマネージド ID は、プロジェクト エンドポイントを介してモデル推論を実行するために Foundry アカウントにアクセスする必要があります。 プロジェクトのアクセスは、Foundry アカウントのスコープで Azure AI User ロールによってカバーされます。 このロールの割り当ては、プロジェクトを作成するユーザーまたはサービス プリンシパルのアクセス許可に応じて、プロジェクトの作成時に自動的に作成される場合があります。
エージェント コードがアカウント レベルの OpenAI エンドポイントに直接アクセスする場合や、プロジェクト エンドポイントによってプロキシされていない他のアカウント レベルの機能にアクセスする場合は、さらにロールの割り当てが必要になる場合があります。 詳細については、「 省略可能なアカウント アクセス」を参照してください。
Model deployment
モデル デプロイを作成するには、Foundry アカウントのスコープで Microsoft.CognitiveServices/accounts/deployments/write アクセス許可が必要です。
| Built-in role | Scope | 担当者は Foundry アカウントにモデルをデプロイできますか? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure AI ユーザー | Foundry account | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry account | ✗ No |
| Azure AI アカウント所有者 | Foundry account | ✔ Yes |
| Azure AI 所有者 | Foundry account | ✔ Yes |
Project setup
Foundry プロジェクトを作成するには、Foundry アカウントのスコープで Microsoft.CognitiveServices/accounts/projects/write アクセス許可が必要です。
| Built-in role | Scope | 担当者は Foundry プロジェクトを作成できますか? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure AI ユーザー | Foundry account | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry account | ✔ Yes |
| Azure AI アカウント所有者 | Foundry account | ✔ Yes |
| Azure AI 所有者 | Foundry account | ✔ Yes |
プロジェクトの作成者がアカウントのスコープで Azure AI User ロールを割り当てる機能を持っている場合、システムは自動的に 2 つのロールの割り当てを作成します。
- プロジェクト作成者には、Foundry アカウントのスコープで Azure AI ユーザー ロールが付与されます。
- プロジェクトのマネージド ID には、Foundry アカウントのスコープで Azure AI ユーザー ロールが付与されます。
プロジェクトのエージェント ID にも同様のロールの割り当てが必要です。 詳細については、「 エージェントの作成」 セクションを参照してください。
Azure Container Registry のセットアップ
Azure Container Registry を作成するには、リソース グループのスコープで Microsoft.ContainerRegistry/registries/write アクセス許可が必要です。
Note
ホストされるエージェントの場合、コンテナー レジストリは現在、そのパブリック エンドポイント経由で到達可能である必要があります。 プライベート ネットワーク (パブリック ネットワーク アクセスが無効なプライベート エンドポイント) の背後に ACR を配置することは現在サポートされていません。 ネットワーク制約の完全な一覧については、「 制限事項」を参照してください。
| Built-in role | Scope | 割り当て先はコンテナー レジストリを作成できますか? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure AI ユーザー | Resource group | ✗ No |
| Azure AI プロジェクトマネージャー | Resource group | ✗ No |
| Azure AI アカウント所有者 | Resource group | ✗ No |
| Azure AI 所有者 | Resource group | ✗ No |
プロジェクトのマネージド ID には、ACR からイメージをプルするためのアクセス許可が必要です。 このタスクに適した 2 つの組み込みロールがあり、ACR レジストリ リソース スコープで割り当てる必要があります。
- Container Registry Repository Reader (プルをデータ アクションとしてモデル化するため推奨)
- AcrPull
そのロールの割り当てを作成するには、ACR レジストリのスコープで Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。
Azure でのロールの割り当ての詳細については、「Azure ロールの割り当ての作成」を参照してください。
| Built-in role | Scope | 担当者はロールの割り当てを作成できますか? |
|---|---|---|
| Owner | ACR registry | ✔ Yes |
| Contributor | ACR registry | ✗ No |
| Azure AI ユーザー | ACR registry | ✗ No |
| Azure AI プロジェクトマネージャー | ACR registry | ✗ No1 |
| Azure AI アカウント所有者 | ACR registry | ✗ No1 |
| Azure AI 所有者 | ACR registry | ✗ No |
| 役割ベースのアクセス制御管理者 | ACR registry | ✔ Yes |
1 これらのロールには roleAssignments/write がありますが、ACR のアクセス許可をカバーしない Azure AI User ロールのみを割り当てる制限があります。
レジストリにイメージをプッシュするユーザーまたはサービス プリンシパルにもロールの割り当てが必要です。 詳細については、「 ホストされるエージェントのデプロイ 」セクションを参照してください。
Application Insights と Log Analytics のセットアップ
Application Insights リソースを作成するには、リソース グループのスコープで Microsoft.Insights/components/write アクセス許可が必要です。
| Built-in role | Scope | 割り当て先は Application Insights リソースを作成できますか? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure AI ユーザー | Resource group | ✗ No |
| Azure AI プロジェクトマネージャー | Resource group | ✗ No |
| Azure AI アカウント所有者 | Resource group | ✗ No |
| Azure AI 所有者 | Resource group | ✗ No |
Log Analytics ワークスペースを作成するには、リソース グループのスコープで Microsoft.OperationalInsights/workspaces/write アクセス許可が必要です。
| Built-in role | Scope | 担当者は Log Analytics ワークスペースを作成できますか? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure AI ユーザー | Resource group | ✗ No |
| Azure AI プロジェクトマネージャー | Resource group | ✗ No |
| Azure AI アカウント所有者 | Resource group | ✗ No |
| Azure AI 所有者 | Resource group | ✗ No |
評価機能を使用する予定の場合、プロジェクトのマネージド ID には、Log Analytics ワークスペースから読み取るアクセス許可が必要です。 このアクセスを有効にするには、Log Analytics ワークスペースのスコープでプロジェクトのマネージド ID に Log Analytics Data Reader ロールを付与します。
そのロールの割り当てを作成するには、Log Analytics ワークスペースのスコープで Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。
Azure でのロールの割り当ての詳細については、「Azure ロールの割り当ての作成」を参照してください。
| Built-in role | Scope | 担当者はロールの割り当てを作成できますか? |
|---|---|---|
| Owner | Log Analytics ワークスペース | ✔ Yes |
| Contributor | Log Analytics ワークスペース | ✗ No |
| Azure AI ユーザー | Log Analytics ワークスペース | ✗ No |
| Azure AI プロジェクトマネージャー | Log Analytics ワークスペース | ✗ No1 |
| Azure AI アカウント所有者 | Log Analytics ワークスペース | ✗ No1 |
| Azure AI 所有者 | Log Analytics ワークスペース | ✗ No |
| 役割ベースのアクセス制御管理者 | Log Analytics ワークスペース | ✔ Yes |
1 これらのロールには roleAssignments/write がありますが、Log Analytics のアクセス許可をカバーしない Azure AI User ロールのみを割り当てるという制約があります。
Connections setup
接続を作成するには、Foundry プロジェクトのスコープで Microsoft.CognitiveServices/accounts/projects/connections/write アクセス許可が必要です。
| Built-in role | Scope | 担当者は接続を作成できますか? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Azure AI ユーザー | Foundry project | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✔ Yes |
| Azure AI 所有者 | Foundry project | ✔ Yes |
接続を作成するユーザーまたはサービス プリンシパルには、Application Insights コンポーネントとコンテナー レジストリの接続情報も必要です。 接続の詳細は、それらのリソースを作成したユーザーまたはサービス プリンシパル、またはそれらのリソースに対する読み取りアクセス権を持つことによって提供できます。
Note
ホストされるエージェントは、多くの場合、より多くの Azure リソースを対象とするツールと接続を使用します。 これらのリソースでは、呼び出し元 ID またはターゲット リソース スコープのエージェント ID に対して追加のロールの割り当てが必要になる場合があります。 たとえば、Storage、Azure AI 検索、Key Vault、またはデータベースにアクセスするツールには、通常、この記事に記載されているコア セットアップアクセス許可に加えて、独自のデータ プレーンアクセス許可が必要です。
Agent applications
エージェント アプリケーションを使用する場合は、Foundry プロジェクトでエージェント アプリケーションを作成する必要があります。 エージェント アプリケーションを作成するには、Foundry プロジェクトのスコープで Microsoft.CognitiveServices/accounts/projects/applications/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はエージェント アプリケーションを作成できますか? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Azure AI ユーザー | Foundry project | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✔ Yes |
| Azure AI 所有者 | Foundry project | ✔ Yes |
agentDeployment オブジェクトは ARM リソースでもありますが、ホストされるエージェントのデプロイ プロセスの一部として作成されます。 詳細については、 ホストされるエージェントのデプロイに関するページを参照してください。
Agent creation
エージェントは、データ プレーン操作によって作成されます。 エージェントを作成するには、Foundry プロジェクトのスコープで Microsoft.CognitiveServices/accounts/AIServices/agents/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はエージェントを作成できますか? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure AI ユーザー | Foundry project | ✔ Yes |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✗ No |
| Azure AI 所有者 | Foundry project | ✔ Yes |
エージェント ID はエージェントの作成後にのみ使用できる可能性があるため、一部のロールの割り当ては、この時点まで作成できません。 プロジェクト エンドポイントでモデル推論を実行するには、エージェント ID には Foundry プロジェクトのスコープで次のアクセス許可が必要です。
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(カスタム定義の場合は、Microsoft.CognitiveServices/accounts/AIServices/agents/*/readを使用します) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(カスタム定義の場合は、Microsoft.CognitiveServices/accounts/AIServices/agents/*/writeを使用します)
| Built-in role | Scope | 割り当てられたエージェントはモデル推論を実行できますか? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure AI ユーザー | Foundry project | ✔ Yes |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✗ No |
| Azure AI 所有者 | Foundry project | ✔ Yes |
Tip
Azure AI User は、プロジェクト エンドポイントでモデル推論を実行できる最小特権の組み込みロールです。 ただし、この操作には、厳密に必要なよりも広範なアクセス許可セットが含まれています。 エージェントに与えられる特権を下げるには、Microsoft.CognitiveServices/accounts/AIServices/responses/*、Microsoft.CognitiveServices/accounts/AIServices/agents/*/read、および Microsoft.CognitiveServices/accounts/AIServices/agents/*/write のみを使用してカスタム ロールを作成することを検討してください。
そのロールの割り当てを作成するには、Foundry プロジェクトのスコープで Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。
Azure でのロールの割り当ての詳細については、「Azure ロールの割り当ての作成」を参照してください。
| Built-in role | Scope | 担当者はロールの割り当てを作成できますか? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✗ No |
| Azure AI ユーザー | Foundry project | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Azure AI User ロール 1 の場合ははい |
| Azure AI アカウント所有者 | Foundry project | ✔ Azure AI User ロール 1 の場合ははい |
| Azure AI 所有者 | Foundry project | ✗ No |
| 役割ベースのアクセス制御管理者 | Foundry project | ✔ Yes |
1Azure AI Project Manager と Azure AI Account Owner の両方に、 Azure AI User ロールのみを割り当てることができる制約があります。 エージェントのカスタム ロール定義を使用してプロジェクトにアクセスする場合、 Azure AI Project Manager と Azure AI Account Owner はそのカスタム ロールを割り当てることができません。
Important
エージェントの作成後にロールの割り当てが必要になるため、エージェントを作成するユーザーまたはプリンシパルには、ロールの割り当てを作成するためのアクセス許可も必要です。 プロジェクト スコープの Azure AI Project Manager は、エージェント作成者に推奨されるロールの割り当てです。このロールには、必要なデータ プレーンのアクセス許可と、Azure AI User ロールを割り当てる機能の両方が含まれるためです。
省略可能なアカウント アクセス
Foundry SDK とプロジェクト エンドポイントをモデル推論に使用すると、プロジェクトは独自のマネージド ID を使用してアカウント レベルのデプロイの推論呼び出しをプロキシします。 ただし、エージェント コードがプロジェクト エンドポイントをバイパスし、アカウント レベルの OpenAI エンドポイントを直接呼び出す場合 (たとえば、 https://{account}.cognitiveservices.azure.com)、エージェントの ID には、アカウント スコープで次のいずれかのロールが必要です。
- Cognitive Services OpenAI ユーザー - OpenAI データ アクションのみを対象としています。
- Azure AI ユーザー - アカウント上のすべての CognitiveServices データ アクションを対象とします。
アカウント レベルの機能は、プロジェクト エンドポイントによってプロキシされません。 これらの機能には、Speech、Content Safety、Computer Vision、Document Intelligence、Language、Translator が含まれます。 エージェントが直接アクセスする場合は、アカウント スコープでロールの割り当てが必要です。 これらの機能については、アカウント スコープで次のいずれかのロールを割り当てます。
- Cognitive Services ユーザー - Speech、Vision、Language、およびその他の OpenAI 以外の機能について説明します。
- Azure AI ユーザー - OpenAI と前述の機能を含むすべての CognitiveServices データ アクションを 1 つの許可でカバーします。
ホステッド エージェントのデプロイ
ホストされるエージェントのデプロイ操作は、コントロール プレーン操作です。 詳細なデプロイ ガイダンスについては、 ホストされたエージェントのデプロイに関するページを参照してください。
レジストリにイメージをプッシュする
エージェントをデプロイするユーザーまたはサービス プリンシパルには、イメージを ACR にプッシュするためのアクセス許可が必要です。 このタスクに適した 2 つの組み込みロールがあり、ACR レジストリ リソース スコープで割り当てる必要があります。
- コンテナー レジストリ リポジトリ ライター (プッシュをデータ アクションとしてモデル化するため推奨)
- AcrPush
新しいエージェント バージョンを作成する
エージェントを作成するには、Foundry プロジェクトのスコープで Microsoft.CognitiveServices/accounts/AIServices/agents/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はエージェント のバージョンを作成できますか? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure AI ユーザー | Foundry project | ✔ Yes |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✗ No |
| Azure AI 所有者 | Foundry project | ✔ Yes |
エージェント アプリケーションを使用する場合は、新しくデプロイされたエージェント バージョンを参照する agentDeployment オブジェクトも作成する必要があります。 これは管理プレーン操作です。
agentDeployment オブジェクトを作成するには、エージェント アプリケーションのスコープでMicrosoft.CognitiveServices/accounts/projects/applications/agentDeployments/writeアクセス許可が必要です。
| Built-in role | Scope | 担当者は agentDeployment オブジェクトを作成できますか? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure AI ユーザー | Foundry account | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry account | ✔ Yes |
| Azure AI アカウント所有者 | Foundry account | ✔ Yes |
| Azure AI 所有者 | Foundry account | ✔ Yes |
新しいバージョンを使用するようにエージェントを更新する
エージェント エンドポイントを使用する場合は、エージェント オブジェクトでバージョンの選択が構成されます。 新しいバージョンを使用するようにエージェントを更新するには、Foundry プロジェクトのスコープで Microsoft.CognitiveServices/accounts/AIServices/agents/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はエージェントのバージョンを更新できますか? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure AI ユーザー | Foundry project | ✔ Yes |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✗ No |
| Azure AI 所有者 | Foundry project | ✔ Yes |
代わりにエージェント アプリケーションを使用する場合は、 エージェント アプリケーション オブジェクトでバージョンの選択が構成されます。 新しい agentDeployment オブジェクトを使用するようにエージェント アプリケーションを更新するには、エージェント アプリケーションのスコープで Microsoft.CognitiveServices/accounts/projects/applications/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はエージェント アプリケーションを更新できますか? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure AI ユーザー | Foundry account | ✗ No |
| Azure AI プロジェクトマネージャー | Foundry account | ✔ Yes |
| Azure AI アカウント所有者 | Foundry account | ✔ Yes |
| Azure AI 所有者 | Foundry account | ✔ Yes |
Azure Bot Service のセットアップ
Microsoft Teamsまたは Microsoft 365 Copilot へのエージェントの発行は省略可能です。 その場合、発行フローはコントロール プレーン操作を実行して Azure Bot Service リソースを作成し、そのチャネルを構成した後、Bot Service からの要求を許可するようにエージェントまたはエージェント アプリケーションを更新します。
ボット サービスの作成
ボット サービス リソースを作成するには、リソース グループのスコープで Microsoft.BotService/botServices/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はボット サービスを作成できますか? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure AI ユーザー | Resource group | ✗ No |
| Azure AI プロジェクトマネージャー | Resource group | ✗ No |
| Azure AI アカウント所有者 | Resource group | ✗ No |
| Azure AI 所有者 | Resource group | ✗ No |
Note
Azure Bot Service は Foundry とは別のリソースの種類です。 Azure AI スコープの組み込みロールには、 Microsoft.BotService/* アクセス許可は含まれません。
Configuring channels
ボット サービスで Teams と Microsoft 365 拡張機能チャネルを構成するには、ボット サービス リソースのスコープで Microsoft.BotService/botServices/channels/write アクセス許可が必要です。
| Built-in role | Scope | 担当者はチャネルを構成できますか? |
|---|---|---|
| Owner | Bot service | ✔ Yes |
| Contributor | Bot service | ✔ Yes |
| Azure AI ユーザー | Bot service | ✗ No |
| Azure AI プロジェクトマネージャー | Bot service | ✗ No |
| Azure AI アカウント所有者 | Bot service | ✗ No |
| Azure AI 所有者 | Bot service | ✗ No |
エージェントまたはエージェント アプリケーションの更新
発行フローでは、チャネル (Azure Bot Service) がエージェントまたはエージェント アプリケーションの認証モードとして設定されます。 更新されるオブジェクトは、シナリオによって異なります。
- エージェント アプリケーション のシナリオ: エージェント アプリケーション オブジェクトが更新されます。 これはコントロール プレーンの書き込み操作です。 エージェント アプリケーションに記載されているのと同じロール要件が適用されます。
- エージェント エンドポイントのシナリオ: エージェント オブジェクトが更新されます。 これはデータ プレーン書き込み操作です。 「新しいエージェント バージョンの作成」に記載されているのと同じロール要件が適用されます。
Teams または M365 Copilot への発行に関する詳細なガイダンスについては、「 Microsoft 365 Copilot および Microsoft Teams にエージェントを発行する」を参照してください。
Agent interaction
エージェントと対話するには、呼び出し元のユーザーまたはサービス プリンシパルにデータ プレーンのアクセス許可が必要です。 エージェント アプリケーションと対話するには、 エージェント アプリケーションのスコープで Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action する必要があります。
| Built-in role | Scope | 担当者はエージェントと対話できますか? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure AI ユーザー | Foundry project | ✔ Yes |
| Azure AI プロジェクトマネージャー | Foundry project | ✔ Yes |
| Azure AI アカウント所有者 | Foundry project | ✗ No |
| Azure AI 所有者 | Foundry project | ✔ Yes |
Agent observability
テレメトリ データの表示
エージェントテレメトリ データにアクセスするには、Application Insights リソースに対する読み取りアクセス許可が必要です。 これには、Azure ポータル、Foundry ポータル、API、監視ツールを使用したトレース、ログ、メトリックの表示が含まれます。
Application Insights リソース スコープで 監視閲覧者 を割り当てます。 このロールの */read アクセス許可は、ワークスペース スコープの個別の割り当てを必要とせずに、基になるLog Analytics ワークスペース データにアクセスします。
Log Analytics ワークスペースに対して直接作業する必要がある場合は、ワークスペース スコープで Log Analytics 閲覧者も割り当てます。
| Built-in role | Scope | 担当者はエージェントのテレメトリ データにアクセスできますか? |
|---|---|---|
| Owner | Application Insights | ✔ Yes |
| Contributor | Application Insights | ✔ Yes |
| Azure AI ユーザー | Application Insights | ✗ いいえ (メトリックは表示されますが、トレースは表示されません) |
| Azure AI プロジェクトマネージャー | Application Insights | ✗ No |
| Azure AI アカウント所有者 | Application Insights | ✗ いいえ (メトリックは表示されますが、トレースは表示されません) |
| Azure AI 所有者 | Application Insights | ✗ No |
| Monitoring Reader | Application Insights | ✔ Yes |
| ログアナリティクス リーダー | Log Analytics ワークスペース | ✔ はい (ワークスペースから直接) |
請求通貨でのコスト表示
Foundry ポータルで課金通貨でコストを表示するには、Microsoft.Billing/billingProperty/read アクセス許可が必要です。 このアクセス許可には、サブスクリプションまたは課金アカウントスコープの割り当てが必要です。 リソース グループ スコープでは、このアクセス許可はカバーされません。
このアクセス許可はポータルの表示に便利であり、ホストされるエージェントの機能には必要ありません。 ほとんどのユーザーは、このアクセス許可を安全に省略できます。
| Built-in role | Scope | 担当者は請求通貨でコストを表示できますか? |
|---|---|---|
| Owner | Subscription | ✔ Yes |
| Contributor | Subscription | ✔ Yes |
| Cost Management 閲覧者 | Subscription | ✔ Yes |
| Azure AI ユーザー | Subscription | ✗ No |
Related content
- ホステッド エージェント: ホストされるエージェントのアーキテクチャとライフサイクルについて説明します。
- Microsoft Foundry のロールベースのアクセス制御: 組み込みのロール、スコープ、割り当てパターンを確認します。
- エージェント ID: エージェント ID とプロジェクトマネージド ID の違いについて説明します。