Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beperk preview-functies in Microsoft Foundry om productieomgevingen gericht te houden op algemeen beschikbare mogelijkheden. In dit artikel worden twee benaderingen behandeld:
- Azure tags preview-oppervlakken verbergen in de Foundry-portal (huidige en klassieke portals).
- Aangepaste RBAC-rollen blokkeren specifieke preview-bewerkingen op API-niveau.
Gebruik tags voor onderdrukking op portalniveau en gebruik aangepaste RBAC-rollen wanneer u specifieke bewerkingen of machtigingen moet blokkeren.
Voorwaarden
- Een Foundry-resource en -project.
- Machtiging om tags toe te voegen aan of te bewerken in uw doelbereik in Azure. Bijvoorbeeld Inzender of Tagbijdrager.
- Een Azure-abonnement met machtigingen voor het maken van aangepaste rollen in het bereik waar u de rol wilt toewijzen (bijvoorbeeld de rol Eigenaar of de rol Beheerder voor gebruikerstoegang).
- Machtigingen voor het toewijzen van rollen aan het bereik waar u toegang toewijst (bijvoorbeeld de rol Role Based Access Control-beheerder of de rol Gebruikerstoegangsbeheerder).
- Azure CLI moet geïnstalleerd en aangemeld zijn wanneer u rollen vanaf de opdrachtregel maakt. Zie Install the Azure CLI voor meer informatie.
- Toegang tot Azure portal.
De tag toepassen
Pas de tag voor onderdrukking van de previewfunctie toe op het bereik dat uw organisatie beheert.
Belangrijk
Gebruik de exacte tagsleutel en -waarde:
- Tagsleutel:
AZML_DISABLE_PREVIEW_FEATURE - Tagwaarde:
true
Pas de tag toe op het bereik dat overeenkomt met uw governancebehoeften:
- Abonnement voor governance voor de hele organisatie.
- Resourcegroep voor alle resources in een groep.
- Foundry-resource voor gedetailleerde controle.
Vervang <resource-id> door de volledige resource-id van uw abonnement, resourcegroep of Foundry-resource.
az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true
De resource-id voor een Foundry-resource zoeken:
az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv
De tag verwijderen om preview-functies opnieuw in te schakelen
Om voorbeeldfuncties te herstellen, verwijdert u het AZML_DISABLE_PREVIEW_FEATURE-label.
az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true
Nadat u de tag hebt verwijderd, vernieuwt u de Foundry-portal of meldt u zich opnieuw aan en uit. Preview-functies worden binnen een paar minuten opnieuw weergegeven.
Onderdrukking controleren in beide portalervaringen
Nadat de tag is opgeslagen, wacht enkele minuten tot de doorgifte is voltooid en controleer vervolgens het gedrag in beide omgevingen.
- Open Microsoft Foundry.
- Open het gelabelde project.
- Controleer of UI-functies die alleen als voorbeeld dienen, zijn verborgen.
- In de klassieke portal is het hulpmiddel Preview-functies in de rechterbovenhoek uitgeschakeld.
- In de nieuwe portal ziet u geen PREVIEW-labels , omdat de functies in de preview-versie niet meer zichtbaar zijn.
- Schakelen tussen nieuwe en klassieke ervaringen met behulp van New Foundry en hetzelfde gedrag valideren.
Verwacht resultaat: preview-functies zijn verborgen in zowel nieuwe als klassieke Foundry-portalervaringen.
Onderdrukkingsproblemen oplossen
Gebruik de volgende tabel wanneer onderdrukking niet werkt zoals verwacht.
| Symptoom | Oorzaak | Resolutie |
|---|---|---|
| Preview-functies worden nog steeds weergegeven nadat de tag is toegepast. | Tagsleutel of tagwaarde is onjuist. | Controleer of de tagsleutel precies AZML_DISABLE_PREVIEW_FEATURE is en of de waarde (hoofdlettergevoelig) is true . Sla de tag opnieuw op. |
| Tag wordt toegepast, maar er worden slechts enkele bereiken onderdrukt. | Tag wordt toegepast op een smaller bereik dan bedoeld. | Controleer of de tag is toegepast op het beoogde beheerbereik (abonnement, resourcegroep of resource). Pas deze indien nodig toe op een breder bereik. |
| Preview-functies worden na enkele minuten opnieuw weergegeven. | Browsersessie gebruikt een gecachete toestand. | Log uit en log opnieuw in, of wis de browsercache en vernieuw de Foundry-Portal. |
| Kan de tag niet toevoegen of bewerken. | Uw account heeft geen tagautorisaties binnen dat toepassingsgebied. | Controleer of u de rol Bijdrager of Tagbijdrager hebt binnen het doelgebied. |
| Preview-functies worden nog steeds weergegeven na het controleren van het bereik, de tag en de machtigingen. | Mogelijke doorgiftevertraging of productfout. | Wacht enkele minuten op propagatie. Als het probleem zich blijft voordoen, dient u een ondersteuningsaanvraag in. |
Preview-functies met aangepaste RBAC-rollen blokkeren
U kunt de toegang tot specifieke preview-functies blokkeren door een aangepaste Azure rol te maken die de bijbehorende machtigingen uitsluit en die rol vervolgens toewijst aan gebruikers.
Omdat u ingebouwde rollen niet kunt wijzigen, maakt u een aangepaste rol die gebruikmaakt notDataActions van (of notActions voor besturingsvlakfuncties zoals Tracering) om de machtigingen die u wilt blokkeren uit te sluiten.
De volgende tabel bevat een overzicht van de preview-functies die u kunt blokkeren en het type machtigingen dat u wilt uitsluiten.
| Preview-functie | Pad van resourceprovider | Machtigingstype | Uitsluitingsveld |
|---|---|---|---|
| Agentservice | Microsoft.CognitiveServices/accounts/AIServices/agents/* |
Gegevensactie | notDataActions |
| Inhoudskennis | Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* |
Gegevensactie | notDataActions |
| Afstemming |
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* en gerelateerde paden |
Gegevensactie | notDataActions |
| Evaluaties | Microsoft.CognitiveServices/accounts/AIServices/evaluations/* |
Gegevensactie | notDataActions |
| Inhoudsveiligheid | Microsoft.CognitiveServices/accounts/ContentSafety/* |
Gegevensactie | notDataActions |
| Tracing | Microsoft.Insights/* |
Besturingsvlakactie | notActions |
Een aangepaste rol maken waarmee een preview-functie wordt geblokkeerd
In deze sectie wordt uitgelegd hoe u een aangepaste roldefinitie maakt en deze toewijst aan een gebruiker. In het voorbeeld wordt Agent Service geblokkeerd, maar u kunt gegevensacties uit de functiesecties in dit artikel vervangen.
Stap 1: De rol JSON definiëren
Maak een JSON-bestand met de naam custom-role.json met de volgende inhoud. Vervang <subscription-id> door de id van uw Azure-abonnement en voeg de gegevensacties toe die u wilt blokkeren voor notDataActions.
{
"properties": {
"roleName": "Foundry custom role (preview features blocked)",
"description": "Custom role that excludes specific Foundry preview features.",
"assignableScopes": [
"/subscriptions/<subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/agents/write",
"Microsoft.CognitiveServices/accounts/AIServices/agents/read",
"Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
]
}
]
}
}
Tip
Als u een bestaande rol kloont of jokertekenmachtigingen in dataActions gebruikt, moet u de data-acties van de previewfunctie toevoegen aan notDataActions zodat de rol deze uitsluit. Gebruik voor tracering in plaats daarvan notActions, omdat tracering besturingsvlakacties gebruikt.
Stap 2: De rol maken
az role definition create --role-definition custom-role.json
Stap 3: De rol toewijzen
az role assignment create \
--role "Foundry custom role (preview features blocked)" \
--assignee "<user-email-or-object-id>" \
--scope "/subscriptions/<subscription-id>"
Stap 4: De roltoewijzing controleren
Controleer of de aangepaste rol de verwachte machtigingen uitsluit.
Vermeld de roltoewijzingen voor de gebruiker en controleer of de aangepaste rol wordt weergegeven:
az role assignment list --assignee "<user-email-or-object-id>" --output table
Bekijk de aangepaste roldefinitie om te bevestigen notDataActions bevat de verwachte gegevensacties:
az role definition list --name "Foundry custom role (preview features blocked)" --output json
Voorvertonen van functiegegevensacties
Elk van de volgende secties bevat de machtigingen voor een preview-functie. Voeg de gegevensacties die u wilt blokkeren toe aan notDataActions in uw aangepaste roldefinitie, met uitzondering van Tracering, die acties in het besturingsvlak gebruikt in notActions.
Agentservice
Voeg deze gegevensacties toe aan notDataActions in uw aangepaste roldefinitie:
Microsoft.CognitiveServices/accounts/AIServices/agents/writeMicrosoft.CognitiveServices/accounts/AIServices/agents/readMicrosoft.CognitiveServices/accounts/AIServices/agents/delete
Als u alle agentservicebewerkingen met één vermelding wilt blokkeren, gebruikt u het jokerteken Microsoft.CognitiveServices/accounts/AIServices/agents/*.
Inhoudskennis
Voeg deze gegevensacties toe aan notDataActions in uw aangepaste roldefinitie:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*
Als uw team documenten in Foundry labelt, blokkeert u ook de acties voor labelgegevens. Zoek in de aangepaste roleditor van de Azure portal naar labelingProjects onder de Microsoft. CognitiveServices resourceprovider om de beschikbare bewerkingen te vinden, zoals:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete
Opmerking
Controleer de exacte labelingProjects gegevensacties in de Azure-portal, omdat de beschikbare bewerkingen kunnen veranderen naarmate de functie zich ontwikkelt.
Fijnregeling
Voor het afstemmen worden verschillende gegevensactiepaden gebruikt onder Microsoft.CognitiveServices/accounts/OpenAI/. Voeg elk pad dat u wilt blokkeren toe aan notDataActions in uw aangepaste roldefinitie.
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*Microsoft.CognitiveServices/accounts/OpenAI/files/*Microsoft.CognitiveServices/accounts/OpenAI/uploads/*Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*Microsoft.CognitiveServices/accounts/OpenAI/evals/*Microsoft.CognitiveServices/accounts/OpenAI/models/*
Als uw team RLHF-taken uitvoert, kunt u desgewenst ook het volgende toevoegen:
Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*
Belangrijk
Elk pad dat wordt vermeld, is een afzonderlijk bereik voor gegevensacties. Het fine-tunes/* jokerteken komt uitsluitend overeen met bewerkingen onder fine-tunes/. Als u het fijnregelen volledig wilt blokkeren, neem dan alle vermelde paden op.
Tracering
Belangrijk
Tracering maakt gebruik van Azure Monitor, een besturingsvlakservice. De machtigingen die in deze sectie worden vermeld , zijn acties, niet gegevensacties. Voeg ze toe aan notActions (niet notDataActions) in uw aangepaste roldefinitie.
Voeg deze acties toe aan notActions de definitie van uw aangepaste rol:
Microsoft.Insights/alertRules/readMicrosoft.Insights/diagnosticSettings/readMicrosoft.Insights/logDefinitions/readMicrosoft.Insights/metricdefinitions/readMicrosoft.Insights/metrics/read
Als u deze leesacties blokkeert, kunnen gebruikers het deelvenster Tracering niet bekijken in de Foundry-portal. Gebruikers die toegang tot tracering nodig hebben, hebben een afzonderlijke rol nodig die de leesacties Microsoft.Insights bevat, zoals een lezerrol in de verbonden Application Insights-resource.
Evaluaties
Voeg deze gegevensacties toe aan notDataActions in uw aangepaste roldefinitie:
Microsoft.CognitiveServices/accounts/AIServices/evaluations/writeMicrosoft.CognitiveServices/accounts/AIServices/evaluations/readMicrosoft.CognitiveServices/accounts/AIServices/evaluations/delete
Inhoudsveiligheid
Voeg deze gegevensacties toe aan notDataActions in uw aangepaste roldefinitie:
Microsoft.CognitiveServices/accounts/ContentSafety/*
Als u alleen specifieke inhoudsveiligheidsbewerkingen wilt blokkeren in plaats van alle bewerkingen, zoekt u naar ContentSafety in de aangepaste roleditor van de Azure-portal en selecteert u de afzonderlijke gegevensacties die u wilt uitsluiten.
Problemen met RBAC oplossen
| Symptoom | Oorzaak | Resolutie |
|---|---|---|
| Gebruiker heeft nog steeds toegang tot een geblokkeerde functie. | De roltoewijzing is mogelijk nog niet doorgegeven of de gebruiker heeft een andere rol die de geblokkeerde machtiging verleent. | Wacht enkele minuten op propagatie. Controleer alle roltoewijzingen voor de gebruiker met az role assignment list --assignee "<user>". Verwijder conflicterende rollen die de geblokkeerde gegevensacties verlenen. |
| Het aanmaken van aangepaste rollen mislukt met "ongeldige gegevensactie." | Het pad naar de gegevensactie is mogelijk onjuist gespeld of de resourceprovider is mogelijk niet geregistreerd. | Controleer het pad naar de gegevensactie in de aangepaste roleditor van de Azure portal. Zorg ervoor dat de Microsoft.CognitiveServices-resourceprovider is geregistreerd in uw abonnement. |
Traceringsmachtigingen worden niet geblokkeerd nadat ze zijn toegevoegd aan notDataActions. |
Tracering maakt gebruik van besturingsvlakacties (Microsoft.Insights), niet gegevensacties. |
Verplaats de Microsoft.Insights-vermeldingen van notDataActions naar notActions in de roldefinitie. |