Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leert u de belangrijkste RBAC-concepten (op rollen gebaseerd toegangsbeheer) voor Microsoft Foundry, waaronder bereiken, ingebouwde rollen en algemene patronen voor ondernemingstoewijzing.
Tip
RBAC-rollen zijn van toepassing wanneer u zich verifieert met behulp van Microsoft Entra ID. Als u in plaats daarvan verificatie op basis van sleutels gebruikt, verleent de sleutel volledige toegang zonder rolbeperkingen. Microsoft raadt het gebruik van Entra ID-verificatie aan voor een betere beveiliging en gedetailleerd toegangsbeheer.
Zie Authentication and Authorization voor meer informatie over verificatie en autorisatie in Microsoft Foundry.
Minimale roltoewijzingen om aan de slag te gaan
Voor nieuwe gebruikers van Azure en Microsoft Foundry, begin met deze minimale vereisten; zo kunnen zowel uw gebruikersaccount als de project-geïdentificeerde identiteit toegang krijgen tot Foundry-functies.
U kunt de huidige toewijzingen verifiëren met behulp van Toegang controleren voor een gebruiker tot een enkele Azure-bron.
- Wijs de rol Azure AI-gebruiker toe aan uw gebruikersprincipal op uw Foundry-bron.
- Wijs de rol Azure AI-gebruiker op uw Foundry-resource toe aan de beheerde identiteit van uw project.
Als de gebruiker die het project heeft gemaakt, rollen kan toewijzen (bijvoorbeeld door de rol Azure Owner op abonnements- of resourcegroepbereik te hebben), worden beide toewijzingen automatisch toegevoegd.
Als u deze rollen handmatig wilt toewijzen, gebruikt u de volgende snelle stappen.
Een rol toewijzen aan uw gebruikersprincipaal
Open uw Foundry-resource in de Azure-portal en ga naar Toegangsbeheer (IAM). Een roltoewijzing maken voor Azure AI-gebruiker, stel Lids in op Gebruiker, groep of service-principal, selecteer uw gebruikers-principal en selecteer vervolgens Review + assign.
Een rol toewijzen aan de beheerde identiteit van uw project
Open uw Foundry-project in de Azure portal en ga naar Toegangsbeheer (IAM). Een roltoewijzing maken voor Azure AI-gebruiker, stel Lids in op Beheerde identiteit, selecteer de beheerde identiteit van uw project en selecteer vervolgens Review + assign.
Terminologie voor op rollen gebaseerd toegangsbeheer in Foundry
Als u inzicht wilt krijgen in op rollen gebaseerd toegangsbeheer in Microsoft Foundry, moet u rekening houden met twee vragen voor uw onderneming.
- Welke machtigingen wil ik dat mijn team heeft bij het bouwen in Microsoft Foundry?
- Op welk niveau wil ik machtigingen toewijzen aan mijn team?
Hier volgen beschrijvingen van een aantal terminologie die in dit artikel wordt gebruikt om deze vragen te beantwoorden.
- Machtigingen: toegestane of geweigerde acties die een identiteit kan uitvoeren op een resource, zoals lezen, schrijven, verwijderen of beheren van besturingsvlak- en gegevensvlakbewerkingen.
- Scope: De set Azure resources waarop een roltoewijzing van toepassing is. Typische bereiken zijn abonnement, resourcegroep, Foundry-resource of Foundry-project.
- Role: Een benoemde verzameling machtigingen waarmee wordt gedefinieerd welke acties op Azure resources binnen een bepaald bereik kunnen worden uitgevoerd.
Een identiteit krijgt een rol met specifieke machtigingen voor een geselecteerd bereik op basis van uw bedrijfsvereisten.
Houd in Microsoft Foundry rekening met twee gebieden bij het voltooien van roltoewijzingen.
- Foundry resource: Het bereik op het hoogste niveau waarmee de grens voor beheer, beveiliging en bewaking voor een Microsoft Foundry-omgeving wordt gedefinieerd.
- Foundry-project: een subbereik binnen een Foundry-resource die wordt gebruikt om werk te organiseren en toegangsbeheer af te dwingen voor Foundry-API's, hulpprogramma's en ontwikkelaarswerkstromen.
Ingebouwde rollen
Een ingebouwde rol in Foundry is een rol die is gemaakt door Microsoft die betrekking heeft op veelvoorkomende toegangsscenario's die u aan uw teamleden kunt toewijzen. Belangrijke ingebouwde rollen die in Azure worden gebruikt, omvatten Eigenaar, Inzender en Lezer. Deze rollen zijn niet specifiek voor Foundry-resourcemachtigingen.
Gebruik voor Foundry-resources aanvullende ingebouwde rollen om de principes voor toegang tot minimale bevoegdheden te volgen. De volgende tabel bevat de belangrijkste ingebouwde rollen voor Foundry en koppelingen naar de exacte roldefinities in AI + Machine Learning ingebouwde rollen.
| Rol | Beschrijving |
|---|---|
| Azure AI-gebruiker | Verleent de lezer toegang tot het Foundry-project, de Foundry-resource en de gegevensacties voor uw Foundry-project. Als u rollen kunt toewijzen, wordt deze rol automatisch aan u toegewezen. Anders verleent uw abonnementseigenaar of een gebruiker met roltoewijzingsmachtigingen deze. Toegangsrol met minimale bevoegdheden in Foundry. |
| Azure AI Project Manager | Hiermee kunt u beheeracties uitvoeren op Foundry-projecten, bouwen en ontwikkelen met projecten en de Azure AI-gebruikersrol voorwaardelijk toewijzen aan andere gebruikersprinciplen. |
| Azure AI-accounteigenaar | Hiermee verleent u volledige toegang tot het beheren van projecten en resources en kunt u de Azure AI-gebruikersrol met voorwaarden toewijzen aan andere gebruikersaccounts. |
| Azure AI-eigenaar | Verleent volledige toegang tot beheerde projecten en resources en bouw en ontwikkel met projecten. Zeer bevoorrechte zelfbedieningsrol ontworpen voor digitale generaties. |
Machtigingen voor elke ingebouwde rol
Gebruik de volgende tabel om de machtigingen te zien die zijn toegestaan voor elke ingebouwde rol in Microsoft Foundry.
| Ingebouwde rol | Foundry-projecten maken | Foundry-accounts maken | Bouwen en ontwikkelen in een project (gegevensacties) | Roltoewijzingen voltooien | Lezertoegang tot projecten en accounts | Modellen beheren | Agenten publiceren |
|---|---|---|---|---|---|---|---|
| Azure AI-gebruiker | ✔ | ✔ | |||||
| Azure AI Project Manager | ✔ | ✔ (wijs alleen Azure AI-gebruikersrol toe) | ✔ | ✔ | |||
| Azure AI-accounteigenaar | ✔ | ✔ | ✔ (wijs alleen Azure AI-gebruikersrol toe) | ✔ | ✔ | ||
| Azure AI-eigenaar | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
Gebruik de volgende tabel om de machtigingen te zien die zijn toegestaan voor de belangrijkste ingebouwde Azure-rollen (Eigenaar, Medewerker, Lezer).
| Ingebouwde rol | Foundry-projecten maken | Foundry-accounts maken | Bouwen en ontwikkelen in een project (gegevensacties) | Roltoewijzingen voltooien | Lezertoegang tot projecten en accounts | Modellen beheren | Agenten publiceren |
|---|---|---|---|---|---|---|---|
| Eigenaar | ✔ | ✔ | ✔ (wijs een rol toe aan elke gebruiker) | ✔ | ✔ | ✔ | |
| Inzender | ✔ | ✔ | ✔ | ✔ | |||
| Lezer | ✔ |
Als u agents wilt publiceren, hebt u minimaal de rol van Azure AI Project Manager nodig binnen de resource-scope van Foundry. Zie Agent-toepassingen in Microsoft Foundry voor meer informatie.
Zie Azure ingebouwde rollen voor meer informatie over ingebouwde rollen in Azure en Foundry. Zie Delegate Azure roltoewijzingsbeheer aan anderen met voorwaarden voor meer informatie over voorwaardelijke delegering die wordt gebruikt in de Azure AI Account-eigenaar en Azure AI-projectmanager-rol.
Voorbeelden van RBAC-toewijzingen voor projecten binnen ondernemingen
Hier volgt een voorbeeld van het implementeren van op rollen gebaseerd toegangsbeheer (RBAC) voor een enterprise Foundry-resource.
| Persona | Rol en bereik | Purpose |
|---|---|---|
| IT-beheerder | Eigenaar van abonnementsbereik | De IT-beheerder zorgt ervoor dat de Foundry-resource voldoet aan bedrijfsstandaarden. Wijs managers de rol Azure AI-accounteigenaar toe aan de resource, zodat ze nieuwe Foundry-accounts kunnen maken. Wijs managers de rol Azure AI Project Manager toe aan de resource om ze projecten binnen een account te laten maken. |
| Managers | Azure AI-accounteigenaar in het resourcebereik Foundry | Managers beheren de Foundry-resource, implementeren modellen, rekenresources controleren, verbindingen controleren en gedeelde verbindingen maken. Ze kunnen niet bouwen in projecten, maar ze kunnen de rol Azure AI-gebruiker aan zichzelf en anderen toewijzen om te beginnen met bouwen. |
| Teamleider of hoofdontwikkelaar | Azure AI Project Manager voor het resourcebereik Foundry | Leadontwikkelaars maken projecten voor hun team en beginnen met bouwen in deze projecten. Nadat u een project hebt gemaakt, nodigen projecteigenaren andere leden uit en wijzen ze de rol Azure AI-gebruiker toe. |
| Teamleden of ontwikkelaars | Azure AI-gebruiker in foundry-projectbereik en lezer in het resourcebereik Foundry | Ontwikkelaars bouwen agents in een project met vooraf geïmplementeerde Foundry-modellen en vooraf gebouwde verbindingen. |
Roltoewijzingen beheren
Als u rollen in Foundry wilt beheren, moet u gemachtigd zijn om rollen in Azure toe te wijzen en te verwijderen. De ingebouwde Azure Owner-rol omvat die machtiging. U kunt rollen toewijzen via de Foundry-portal (beheerpagina), Azure portal-IAM of Azure CLI. U kunt rollen verwijderen met behulp van Azure portal-IAM of Azure CLI.
Beheer machtigingen in de portal van Foundry door:
- Open de
Admin -pagina inFoundry en selecteerBeheer Admin . - Selecteer uw projectnaam.
- Selecteer Gebruiker toevoegen om projecttoegang te beheren. Deze actie is alleen beschikbaar als u machtigingen voor roltoewijzing hebt.
- Pas dezelfde flow toe voor toegang op Foundry-resourceniveau.
U kunt machtigingen beheren in de Azure portal onder Access Control (IAM) of met behulp van Azure CLI.
Met de volgende opdracht wordt bijvoorbeeld de Azure AI-gebruikersrol toegewezen aan joe@contoso.com voor resourcegroep this-rg in abonnement 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Aangepaste rollen maken voor projecten
Als de ingebouwde rollen niet voldoen aan uw bedrijfsvereisten, maakt u een aangepaste rol die nauwkeurige controle biedt over toegestane acties en bereiken. Hier volgt een voorbeeld van een aangepaste roldefinitie op abonnementsniveau:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Zie de volgende artikelen voor meer informatie over het maken van een aangepaste rol.
- Azure portal
- Azure CLI
- Azure PowerShell
- Uitschakelen van previewfuncties in Microsoft Foundry In dit artikel vindt u meer informatie over specifieke machtigingen in Foundry over het beheer- en gegevensvlak dat u kunt gebruiken bij het bouwen van aangepaste rollen.
Notities en beperkingen
- Als u verwijderde Foundry-accounts wilt weergeven en opschonen, moet de rol van Bijdrager zijn toegewezen aan het abonnementsbereik.
- Gebruikers met de rol Inzender kunnen modellen implementeren in Foundry.
- U hebt de rol van eigenaar nodig binnen het bereik van een resource om aangepaste rollen in die resource te maken.
- Als u machtigingen hebt om rollen toe te wijzen in Azure (bijvoorbeeld de rol Eigenaar die is toegewezen aan het accountbereik) aan uw gebruikersprincipaal en u een Foundry-resource implementeert vanuit de gebruikersinterface van de Azure-portal of foundry-portal, wordt de Azure AI-gebruikersrol automatisch toegewezen aan uw gebruikersprincipaal. Deze toewijzing is niet van toepassing bij het implementeren van Foundry vanuit SDK of CLI.
- Wanneer u een Foundry-resource maakt, hebt u met de ingebouwde RBAC-machtigingen (Role-Based Access Control) toegang tot de resource. Als u resources wilt gebruiken die buiten Foundry zijn gemaakt, moet u ervoor zorgen dat de resource machtigingen heeft waarmee u er toegang toe hebt. Hier volgen enkele voorbeelden:
- Als u een nieuw Azure Blob Storage-account wilt gebruiken, voegt u de beheerde identiteit van de Foundry-accountresource toe aan de rol Opslagblobgegevenslezer voor dat opslagaccount.
- Als u een nieuwe Azure AI Zoeken bron wilt gebruiken, voegt u Foundry toe aan de Azure AI Zoeken roltoewijzingen.
- Als u een model in Foundry wilt verfijnen, hebt u machtigingen voor zowel het gegevensvlak als het besturingsvlak nodig. Het implementeren van een nauwkeurig afgestemd model is een toestemming voor de beheerlaag. Daarom is de enige ingebouwde rol met machtigingen voor zowel het gegevensvlak als het besturingsvlak de rol Azure AI-eigenaar. Als u wilt, kunt u ook de rol Azure AI-gebruiker toewijzen voor machtigingen voor gegevensvlakken en de rol Azure AI-accounteigenaar rol voor machtigingen voor besturingsvlak.
Verwante inhoud
- Maak een project.
- Controleer toegang voor een gebruiker tot één Azure-bron.
- Verificatie en autorisatie in Foundry.
- Uitschakelen van previewfuncties in Microsoft Foundry
- Referentie voor machtigingen van gehoste agents.
Aanhangsel
Voorbeelden van toegangsisolatie
Elke organisatie kan verschillende vereisten voor toegangsisolatie hebben, afhankelijk van de persona's van de gebruiker in hun onderneming. Toegangsisolatie verwijst naar welke gebruikers in uw onderneming roltoewijzingen krijgen voor een scheiding van machtigingen met behulp van onze ingebouwde rollen of een uniforme, zeer permissieve rol. Er zijn drie opties voor isolatie van toegang voor Foundry die u kunt selecteren voor uw organisatie, afhankelijk van uw vereisten voor toegangsisolatie.
Geen toegangsisolatie. Dit betekent dat u in uw onderneming geen vereisten hebt die machtigingen scheiden tussen een ontwikkelaar, projectmanager of beheerder. De machtigingen voor deze rollen kunnen worden toegewezen aan alle teams.
Daarom moet u...
- Geef alle gebruikers in uw onderneming de rol Azure AI-eigenaar op de resource-scope.
Gedeeltelijke toegangsisolatie. Dit betekent dat de projectmanager in uw onderneming binnen projecten moet kunnen ontwikkelen en projecten moeten kunnen maken. Maar uw beheerders mogen zich niet kunnen ontwikkelen in Foundry, maar alleen Foundry-projecten en -accounts maken.
Daarom moet u...
- Geef uw beheerder Azure AI-accounteigenaar binnen de reikwijdte van de bron
- Geef uw ontwikkelaar en projectmanagers de Azure AI Project Manager rol op de resource.
Volledige toegangsisolatie. Dit betekent dat uw beheerders, projectmanagers en ontwikkelaars duidelijke machtigingen hebben die niet overlappen voor hun verschillende functies binnen een onderneming.
Daarom moet u...
- Geef uw beheerder de Azure AI Account Owner op het bereik van de resources
- Ken uw ontwikkelaar de rol Reader toe op Foundry resourcebereik en Azure AI User op projectbereik.
- Wijs uw projectmanager de rol Azure AI Project Manager toe op resourcebereik.
Microsoft Entra groepen gebruiken met Foundry
Microsoft Entra ID biedt verschillende manieren om de toegang tot resources, toepassingen en taken te beheren. Met behulp van Microsoft Entra groepen kunt u toegang en machtigingen verlenen aan een groep gebruikers in plaats van aan elke afzonderlijke gebruiker. Ondernemings-IT-beheerders kunnen Microsoft Entra groepen maken in de Azure-portal om het roltoewijzingsproces voor ontwikkelaars te vereenvoudigen. Wanneer u een Microsoft Entra groep maakt, kunt u het aantal roltoewijzingen minimaliseren dat nodig is voor nieuwe ontwikkelaars die aan Foundry-projecten werken door de groep de vereiste roltoewijzing toe te wijzen aan de benodigde resource.
Voer de volgende stappen uit om Microsoft Entra ID groepen te gebruiken met Foundry:
- Maak een groep Security in Groups in de Azure-portal.
- Voeg een eigenaar en de gebruikers-principals toe in uw organisatie die gedeelde toegang nodig hebben.
- Open de doelresource en ga naar Toegangsbeheer (IAM).
- Wijs de vereiste rol toe aan Gebruiker, groep of service-principal en selecteer de nieuwe beveiligingsgroep.
- Selecteer Beoordelen en toewijzen , zodat de roltoewijzing van toepassing is op alle leden van de groep.
Veelvoorkomende voorbeelden:
- Als u agents wilt bouwen, traceringen wilt uitvoeren en kernmogelijkheden van Foundry wilt gebruiken, wijst u Azure AI User toe aan de Microsoft Entra-groep.
- Als u tracerings- en bewakingsfuncties wilt gebruiken, wijst u Lezer toe aan de verbonden Application Insights-resource aan dezelfde groep.
Raadpleeg voor meer informatie over Microsoft Entra ID groepen, vereisten en beperkingen: