Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Ao trabalhar com agentes hosted no Microsoft Foundry, é importante entender as várias permissões envolvidas. Há várias classes de permissões envolvidas no desenvolvimento de agente hospedado, abrangendo o plano de controle Azure Resource Manager e o plano de dados foundry:
- Permissões concedidas a usuários ou entidades de segurança que trabalham com recursos do Foundry
- Permissões concedidas ao projeto Foundry
- Permissões concedidas ao agente
Este artigo é um complementar ao controle de acesso baseado em Role para Microsoft Foundry, que apresenta conceitos de RBAC (controle de acesso baseado em função) e as funções internas disponíveis no Microsoft Foundry. Você deve se familiarizar com esse artigo antes de continuar. Este artigo aborda as operações envolvidas no desenvolvimento e implantação do agente hospedado, as permissões necessárias para executar essas operações e quais funções internas abrangem essas permissões.
Para tarefas de ciclo de vida e implantação de ponta a ponta, consulte Implantar um agente hospedado e gerenciar o ciclo de vida do agente hospedado. Para obter um comportamento específico de identidade, consulte a identidade do Agente.
Important
Sempre adere ao princípio do privilégio mínimo ao atribuir permissões. Conceda apenas as permissões necessárias para que usuários e agentes executem suas tarefas e examinem e atualizem regularmente as permissões conforme necessário.
Funções neste artigo
Fábrica de IA do Azure permissões abrangem dois planos: o plano de controle Azure Resource Manager (ARM) e o plano de dados foundry. As funções de proprietário e colaborador têm permissões amplas do plano de controle arm, mas não incluem permissões de plano de dados. As operações do plano de dados, como criar agentes ou interagir com eles, exigem funções de Fábrica de IA do Azure específicas, como Azure Usuário de IA, Azure AI Project Manager ou Azure Proprietário de IA.
Este artigo faz referência às seguintes funções internas. Para obter informações sobre definições de função personalizadas, consulte Azure funções personalizadas.
| Role | Finalidade na implantação do agente hospedado |
|---|---|
| Owner | Permissões completas para criar e gerenciar recursos Azure |
| Contributor | Criar e gerenciar recursos Azure |
| Administrador de Controle de Acesso baseado em Role | Criar atribuições de função em recursos de Azure |
| Azure Usuário de IA | Criar agentes, executar inferência de modelo e interagir com agentes |
| Gerenciador de Projetos de IA do Azure | Gerenciar projetos, criar agentes, executar inferência de modelo, interagir com agentes e criar atribuições de função |
| Azure proprietário da conta de IA | Crie implantações, gerencie projetos e manipule recursos no nível da conta. Crie atribuições de função somente para operações de plano de controle. Não é possível executar operações de plano de dados, como criar ou interagir com agentes. |
| Azure Proprietário de IA | Permissões de plano de controle total e plano de dados sobre recursos de conta, mas não podem criar atribuições de função |
| Leitor do Repositório do Registro de Contêiner | Efetuar pull de imagens de contêiner do Registro |
| Gravador do Repositório do Registro de Contêiner | Enviar imagens de contêiner por push para o Registro |
| AcrPull | Efetuar pull de imagens de contêiner do Registro |
| AcrPush | Enviar imagens de contêiner por push para o Registro |
| leitor de dados Log Analytics | Ler dados de telemetria para avaliações |
| Usuário do OpenAI dos Serviços Cognitivos | Acessar pontos de extremidade OpenAI no nível da conta diretamente |
| Usuário dos Serviços Cognitivos | Acessar recursos de nível de conta (Fala, Visão, Linguagem) diretamente |
Caution
Embora possa parecer uma função apropriada para um desenvolvedor que trabalha com agentes hospedados, a função interna Azure Desenvolvedor de IA é insuficiente para cenários de agente hospedado. Essa função tem como escopo Azure Machine Learning e hubs do Foundry, não para os recursos do projeto foundry usados por agentes hospedados e não inclui as permissões de gerenciamento de recursos necessárias para a implantação do agente hospedado.
Diagnóstico rápido por sintoma
Use esses links para ir diretamente para seções que resolvem problemas comuns de permissão:
- Não é possível criar agente: consulte a criação do Agente
- O agente não pode acessar modelos: consulte a criação do Agente e o acesso à conta opcional
- Deployment fail: consulte Hosted agent deployment and Registro de Contêiner do Azure setup
- Agent não pode efetuar pull de imagens em runtime: consulte Registro de Contêiner do Azure instalação
- Falha na interação do agente: consulte a interação do Agente
- Falha na atribuição de função: Veja como criar essa atribuição de função requer seções e configuração de Conexões
- Não é possível publicar agente no Teams ou no M365 Copilot: consulte Azure Serviço de Bot instalação
Arquitetura da solução do agente hospedado
Uma configuração de agente hospedada concluída envolve vários recursos de Azure, atribuições de identidade e conexões trabalhando em conjunto. O diagrama a seguir mostra os principais componentes e suas relações:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
O diagrama acima mostra como os recursos são organizados hierarquicamente e quais atribuições de função permitem a comunicação entre eles. As seções a seguir fornecem requisitos de configuração detalhados para cada componente.
Recursos de Azure necessários
Cada implantação de agente hospedado requer que esses recursos Azure sejam configurados corretamente:
-
Uma conta do Foundry
- Uma atribuição de função permite que a identidade gerenciada do projeto acesse a conta para acesso ao modelo.
Azure AI Useré a função interna recomendada.
- Uma atribuição de função permite que a identidade gerenciada do projeto acesse a conta para acesso ao modelo.
- Uma implantação de modelo (na conta)
-
Um projeto foundry (na conta)
- O projeto tem uma identidade gerenciada. O projeto também obtém uma identidade de agente e de agente quando seu primeiro agente é criado.
- Uma atribuição de função permite que a identidade do agente hospedado acesse o projeto para acesso ao modelo.
Azure AI Useré a função interna recomendada. - As atribuições de função permitem que usuários cliente ou entidades de segurança interajam com agentes no projeto em runtime.
Azure AI Useré a função interna recomendada.
-
Um agente hospedado (no projeto)
- O agente obtém automaticamente uma identidade de agente e blueprint do agente.
- Uma versão do agente (no objeto do agente hospedado)
-
An Registro de Contêiner do Azure (ACR)
- Uma atribuição de função permite que a identidade gerenciada do projeto extraia imagens do registro. O Leitor do Repositório do Registro de Contêiner é a função interna recomendada.
- Uma atribuição de função permite que um usuário ou entidade de serviço que implanta o agente envie imagens por push para o registro. O Gravador do Repositório de Registro de Contêiner é a função interna recomendada.
- Um componente do Application Insights
-
A Log Analytics workspace (vinculado ao componente do Application Insights)
- Uma atribuição de função permite que a identidade gerenciada do projeto leia a telemetria para avaliações. Log Analytics Leitor de Dados é a função interna recomendada.
-
Vários recursos de conexão (no projeto):
- Uma conexão é criada para o Registro de Contêiner do Azure, que o projeto usa para pull de imagem.
- Uma conexão é criada para o Application Insights, que o projeto usa para emitir telemetria para seus agentes. Essa conexão não usa a identidade por padrão.
Alguns conjuntos de usuários ou entidades de segurança precisam de permissão para criar e gerenciar esses recursos. Este artigo pressupõe uma configuração em que os recursos Azure estão todos dentro do mesmo grupo de recursos e mostra a concessão de acesso de gravação por esse grupo de recursos. Essa abordagem de grupo de recursos é uma configuração comum para muitas equipes, mas sua configuração específica pode variar. Se você tiver uma estratégia de organização de recursos diferente, talvez seja necessário dividir permissões entre os grupos de recursos usados.
Essa lista não inclui recursos de rede. No entanto, o usuário ou a entidade de serviço que provisiona os recursos Azure também pode precisar de permissão para criar e gerenciar redes virtuais, sub-redes e pontos de extremidade privados para proteger os recursos.
Agent applications
Se você usar aplicativos de agente, a lista também incluirá:
-
Um aplicativo de agente (no projeto)
- O aplicativo do agente obtém automaticamente uma identidade de agente e de agente. Repita as atribuições de função para a identidade do agente do agente hospedado com a identidade do agente do aplicativo do agente.
- Uma implantação de agente (no aplicativo do agente)
configuração do recurso Azure
Configuração da conta de pesquisa
A criação de uma conta do Foundry requer a permissão Microsoft.CognitiveServices/accounts/write no escopo do grupo de recursos.
| Built-in role | Scope | O atribuídor pode criar uma conta do Foundry? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure usuário de IA | Resource group | ✗ No |
| Gerente de Project de IA do Azure | Resource group | ✗ No |
| Azure proprietário da conta de IA | Resource group | ✔ Yes |
| Azure Proprietário de IA | Resource group | ✔ Yes |
A identidade gerenciada do projeto precisa de acesso à conta do Foundry para executar a inferência do modelo por meio do ponto de extremidade do projeto. O acesso do projeto é coberto pela função Azure AI User no escopo da conta foundry. Essa atribuição de função pode ser criada automaticamente quando o projeto é criado, dependendo das permissões do usuário ou da entidade de serviço que cria o projeto.
Mais atribuições de função poderão ser necessárias se o código do agente acessar o ponto de extremidade OpenAI no nível da conta diretamente ou outros recursos de nível de conta não solicitados pelo ponto de extremidade do projeto. Para obter mais informações, consulte Acesso opcional à conta.
Model deployment
A criação de uma implantação de modelo requer a permissão Microsoft.CognitiveServices/accounts/deployments/write no escopo da conta do Foundry.
| Built-in role | Scope | O atribuídor pode implantar um modelo em uma conta do Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure usuário de IA | Foundry account | ✗ No |
| Gerente de Project de IA do Azure | Foundry account | ✗ No |
| Azure proprietário da conta de IA | Foundry account | ✔ Yes |
| Azure Proprietário de IA | Foundry account | ✔ Yes |
Project setup
A criação de um projeto de Foundry requer a permissão Microsoft.CognitiveServices/accounts/projects/write no escopo da conta do Foundry.
| Built-in role | Scope | O atribuídor pode criar um projeto do Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure usuário de IA | Foundry account | ✗ No |
| Gerente de Project de IA do Azure | Foundry account | ✔ Yes |
| Azure proprietário da conta de IA | Foundry account | ✔ Yes |
| Azure Proprietário de IA | Foundry account | ✔ Yes |
Se o criador do projeto tiver a capacidade de atribuir a função Azure AI User no escopo da conta, o sistema criará automaticamente duas atribuições de função:
- O criador do projeto recebe a função Azure usuário de IA no escopo da conta do Foundry.
- A identidade gerenciada do projeto recebe a função Azure usuário de IA no escopo da conta do Foundry.
Uma atribuição de função semelhante é necessária para a identidade do agente no projeto. Para obter mais informações, consulte a seção de criação do Agente .
configuração Registro de Contêiner do Azure
A criação de um Registro de Contêiner do Azure requer a permissão Microsoft.ContainerRegistry/registries/write no escopo do grupo de recursos.
Note
Para agentes hospedados, o registro de contêiner deve atualmente ser acessível em seu ponto de extremidade público. Atualmente, não há suporte para colocar o ACR atrás de uma rede privada (ponto de extremidade privado com acesso à rede pública desabilitado). Para obter a lista completa de restrições de rede, consulte Limitações.
| Built-in role | Scope | O atribuídor pode criar um registro de contêiner? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure usuário de IA | Resource group | ✗ No |
| Gerente de Project de IA do Azure | Resource group | ✗ No |
| Azure proprietário da conta de IA | Resource group | ✗ No |
| Azure Proprietário de IA | Resource group | ✗ No |
A identidade gerenciada do projeto precisa de permissões para efetuar pull da imagem do ACR. Há duas funções internas adequadas para essa tarefa, que devem ser atribuídas no escopo do recurso do Registro do ACR:
- Leitor do Repositório do Registro de Contêiner (preferencial porque modela o pull como uma ação de dados)
- AcrPull
A criação dessa atribuição de função requer a permissão Microsoft.Authorization/roleAssignments/write no escopo do Registro do ACR.
Para obter detalhes sobre como atribuir funções em Azure, consulte Create Azure atribuições de função.
| Built-in role | Scope | O atribuídor pode criar uma atribuição de função? |
|---|---|---|
| Owner | ACR registry | ✔ Yes |
| Contributor | ACR registry | ✗ No |
| Azure usuário de IA | ACR registry | ✗ No |
| Gerente de Project de IA do Azure | ACR registry | ✗ No1 |
| Azure proprietário da conta de IA | ACR registry | ✗ No1 |
| Azure Proprietário de IA | ACR registry | ✗ No |
| Administrador de Controle de Acesso baseado em função | ACR registry | ✔ Yes |
1 Essas funções têm roleAssignments/write mas são restritas a atribuir apenas a função Azure AI User, que não abrange as permissões do ACR.
O usuário ou a entidade de serviço que envia imagens por push para o registro também precisa de uma atribuição de função. Para obter mais informações, consulte a seção de implantação do agente hospedado .
Configuração do Application Insights e Log Analytics
A criação de um recurso do Application Insights requer a permissão Microsoft.Insights/components/write no escopo do grupo de recursos.
| Built-in role | Scope | O atribuídor pode criar um recurso do Application Insights? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure usuário de IA | Resource group | ✗ No |
| Gerente de Project de IA do Azure | Resource group | ✗ No |
| Azure proprietário da conta de IA | Resource group | ✗ No |
| Azure Proprietário de IA | Resource group | ✗ No |
A criação de um workspace Log Analytics requer a permissão Microsoft.OperationalInsights/workspaces/write no escopo do grupo de recursos.
| Built-in role | Scope | O atribuídor pode criar um workspace Log Analytics? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure usuário de IA | Resource group | ✗ No |
| Gerente de Project de IA do Azure | Resource group | ✗ No |
| Azure proprietário da conta de IA | Resource group | ✗ No |
| Azure Proprietário de IA | Resource group | ✗ No |
Se você planeja usar o recurso de avaliações, a identidade gerenciada do projeto precisa de permissões para ler do workspace Log Analytics. Você pode habilitar esse acesso concedendo a função Log Analytics Data Reader à identidade gerenciada do projeto no escopo do workspace Log Analytics.
A criação dessa atribuição de função requer a permissão Microsoft.Authorization/roleAssignments/write no escopo do workspace Log Analytics.
Para obter detalhes sobre como atribuir funções em Azure, consulte Create Azure atribuições de função.
| Built-in role | Scope | O atribuídor pode criar uma atribuição de função? |
|---|---|---|
| Owner | espaço de trabalho do Log Analytics | ✔ Yes |
| Contributor | espaço de trabalho do Log Analytics | ✗ No |
| Azure usuário de IA | espaço de trabalho do Log Analytics | ✗ No |
| Gerente de Project de IA do Azure | espaço de trabalho do Log Analytics | ✗ No1 |
| Azure proprietário da conta de IA | espaço de trabalho do Log Analytics | ✗ No1 |
| Azure Proprietário de IA | espaço de trabalho do Log Analytics | ✗ No |
| Administrador de Controle de Acesso baseado em função | espaço de trabalho do Log Analytics | ✔ Yes |
1 Essas funções têm roleAssignments/write mas são restritas a atribuir apenas a função Azure AI User, que não abrange permissões de Log Analytics.
Connections setup
A criação de uma conexão requer a permissão Microsoft.CognitiveServices/accounts/projects/connections/write no escopo do projeto Foundry.
| Built-in role | Scope | O atribuídor pode criar uma conexão? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Azure usuário de IA | Foundry project | ✗ No |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✔ Yes |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
O usuário ou a entidade de serviço que cria as conexões também precisa das informações de conexão para o componente do Application Insights e o registro de contêiner. Os detalhes da conexão podem ser fornecidos pelo usuário ou pela entidade de serviço que criou esses recursos ou por ter acesso de leitura sobre esses recursos.
Note
Os agentes hospedados geralmente usam ferramentas e conexões direcionadas a recursos mais Azure. Esses recursos podem exigir atribuições de função extras para a identidade de chamada ou a identidade do agente no escopo do recurso de destino. Por exemplo, ferramentas que acessam armazenamento, Pesquisa de IA do Azure , Key Vault ou bancos de dados normalmente exigem suas próprias permissões de plano de dados, além das permissões de instalação principais documentadas neste artigo.
Agent applications
Se você usar aplicativos de agente, precisará criar um aplicativo de agente no projeto Foundry. A criação de um aplicativo de agente requer a permissão Microsoft.CognitiveServices/accounts/projects/applications/write no escopo do projeto Foundry.
| Built-in role | Scope | O atribuídor pode criar um aplicativo de agente? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Azure usuário de IA | Foundry project | ✗ No |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✔ Yes |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
agentDeployment os objetos também são recursos do ARM, mas são criados como parte do processo de implantação do agente hospedado. Para obter mais informações, consulte a implantação do agente hospedado.
Agent creation
Os agentes são criados por meio de uma operação de plano de dados. A criação de um agente requer a permissão Microsoft.CognitiveServices/accounts/AIServices/agents/write no escopo do projeto Foundry.
| Built-in role | Scope | O atribuídor pode criar um agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure usuário de IA | Foundry project | ✔ Yes |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✗ No |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
Como a identidade do agente só pode estar disponível depois que o agente é criado, algumas atribuições de função não podem ser criadas até depois desse ponto. Para executar a inferência de modelo com o ponto de extremidade do projeto, a identidade do agente requer as seguintes permissões no escopo do projeto Foundry:
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(para definições personalizadas, useMicrosoft.CognitiveServices/accounts/AIServices/agents/*/read) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(para definições personalizadas, useMicrosoft.CognitiveServices/accounts/AIServices/agents/*/write)
| Built-in role | Scope | O agente atribuído pode executar a inferência de modelo? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure usuário de IA | Foundry project | ✔ Yes |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✗ No |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
Tip
Azure AI User é a função interna de privilégio mínimo que pode executar inferência de modelo com o ponto de extremidade do projeto. No entanto, ele inclui um conjunto mais amplo de permissões do que estritamente necessário para esta operação. Para reduzir o privilégio dado ao agente, considere criar uma função personalizada com apenas Microsoft.CognitiveServices/accounts/AIServices/responses/*, Microsoft.CognitiveServices/accounts/AIServices/agents/*/read e Microsoft.CognitiveServices/accounts/AIServices/agents/*/write.
A criação dessa atribuição de função requer a permissão Microsoft.Authorization/roleAssignments/write no escopo do projeto Foundry.
Para obter detalhes sobre como atribuir funções em Azure, consulte Create Azure atribuições de função.
| Built-in role | Scope | O atribuídor pode criar uma atribuição de função? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✗ No |
| Azure usuário de IA | Foundry project | ✗ No |
| Gerente de Project de IA do Azure | Foundry project | ✔ Sim para Azure AI User função1 |
| Azure proprietário da conta de IA | Foundry project | ✔ Sim para Azure AI User função1 |
| Azure Proprietário de IA | Foundry project | ✗ No |
| Administrador de Controle de Acesso baseado em função | Foundry project | ✔ Yes |
1 Tanto Azure AI Project Manager quanto Azure AI Account Owner têm uma restrição de que só podem atribuir a função Azure AI User. Se você planeja usar uma definição de função personalizada para o agente acessar o project, Azure AI Project Manager e Azure AI Account Owner não poderão atribuir essa função personalizada.
Important
Como uma atribuição de função é necessária após a criação do agente, o usuário ou a entidade de segurança que cria o agente também precisa de permissão para criar atribuições de função.
Azure Gerente de Project de IA no escopo project é a atribuição de função recomendada para criadores de agente, pois essa função inclui as permissões necessárias do plano de dados e a capacidade de atribuir a função Azure AI User.
Acesso à conta opcional
Quando você usa o SDK do Foundry e o ponto de extremidade do projeto para inferência de modelo, os proxies de projeto chamam a implantação em nível de conta usando sua própria identidade gerenciada. No entanto, se o código do agente ignorar o ponto de extremidade do projeto e chamar o ponto de extremidade OpenAI no nível da conta diretamente (por exemplo, https://{account}.cognitiveservices.azure.com), a identidade do agente precisará de uma das seguintes funções no escopo da conta:
- Usuário do OpenAI dos Serviços Cognitivos – abrange apenas as ações de dados do OpenAI.
- Azure Usuário de IA - abrange todas as ações de dados do CognitiveServices na conta.
Os recursos no nível da conta não são proxies pelo ponto de extremidade do projeto. Esses recursos incluem Fala, Segurança de Conteúdo, Pesquisa Visual Computacional, Inteligência de Documento, Idioma e Tradutor. Eles exigem uma atribuição de função no escopo da conta se o agente os acessar diretamente. Para esses recursos, atribua uma das seguintes funções no escopo da conta:
- Usuário dos Serviços Cognitivos – aborda a Fala, a Visão, a Linguagem e outros recursos que não são do OpenAI.
- Azure Usuário de IA - abrange todas as ações de dados do CognitiveServices, incluindo OpenAI e os recursos listados anteriormente, com uma única concessão.
Implantação de agente hospedado
As operações de implantação do agente hospedado são operações de plano de controle. Para obter diretrizes de implantação passo a passo, consulte Implantar um agente hospedado.
Enviar uma imagem por push para o registro
O usuário ou a entidade de serviço que implanta o agente precisa de permissão para enviar a imagem por push para o ACR. Há duas funções internas adequadas para essa tarefa, que devem ser atribuídas no escopo do recurso do Registro do ACR:
- Gravador do Repositório do Registro de Contêiner (preferencial porque modela o push como uma ação de dados)
- AcrPush
Criar uma nova versão do agente
A criação de um agente requer a permissão Microsoft.CognitiveServices/accounts/AIServices/agents/write no escopo do projeto Foundry.
| Built-in role | Scope | O atribuídor pode criar uma versão do agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure usuário de IA | Foundry project | ✔ Yes |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✗ No |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
Se você usar aplicativos de agente, também precisará criar um agentDeployment objeto que faça referência a uma versão do agente recém-implantada. Esta é uma operação de plano de gerenciamento. A criação de um objeto agentDeployment requer a permissão Microsoft.CognitiveServices/accounts/projects/applications/agentDeployments/write no escopo do aplicativo do agente.
| Built-in role | Scope | O atribuídor pode criar um agentDeployment objeto? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure usuário de IA | Foundry account | ✗ No |
| Gerente de Project de IA do Azure | Foundry account | ✔ Yes |
| Azure proprietário da conta de IA | Foundry account | ✔ Yes |
| Azure Proprietário de IA | Foundry account | ✔ Yes |
Atualizar o agente para usar a nova versão
Se você usar o ponto de extremidade do agente, a seleção de versão será configurada no objeto do agente. Atualizar o agente para usar a nova versão requer a permissão Microsoft.CognitiveServices/accounts/AIServices/agents/write no escopo do projeto Foundry.
| Built-in role | Scope | O atribuídor pode atualizar a versão do agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure usuário de IA | Foundry project | ✔ Yes |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✗ No |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
Se, em vez disso, você usar o aplicativo do agente, a seleção de versão será configurada no objeto de aplicativo do agente. Atualizar o aplicativo do agente para usar o novo objeto agentDeployment requer a permissão Microsoft.CognitiveServices/accounts/projects/applications/write no escopo do aplicativo do agente.
| Built-in role | Scope | O atribuídor pode atualizar o aplicativo do agente? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Azure usuário de IA | Foundry account | ✗ No |
| Gerente de Project de IA do Azure | Foundry account | ✔ Yes |
| Azure proprietário da conta de IA | Foundry account | ✔ Yes |
| Azure Proprietário de IA | Foundry account | ✔ Yes |
configuração Azure Serviço de Bot
A publicação do agente em Microsoft Teams ou Microsoft 365 Copilot é opcional. Quando você faz isso, o fluxo de publicação executa operações de plano de controle para criar um recurso de Azure Serviço de Bot e configurar seus canais e, em seguida, atualiza o agente ou o aplicativo do agente para permitir solicitações de Serviço de Bot.
Criando o serviço de bot
A criação do recurso de serviço de bot requer a permissão Microsoft.BotService/botServices/write no escopo do grupo de recursos.
| Built-in role | Scope | O atribuídor pode criar um serviço de bot? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Azure usuário de IA | Resource group | ✗ No |
| Gerente de Project de IA do Azure | Resource group | ✗ No |
| Azure proprietário da conta de IA | Resource group | ✗ No |
| Azure Proprietário de IA | Resource group | ✗ No |
Note
Azure Serviço de Bot é um tipo de recurso separado da Foundry. Azure funções internas com escopo de IA não incluem permissões de Microsoft.BotService/*.
Configuring channels
Configurar os canais do Teams e do Microsoft 365 Extensions no serviço de bot requer a permissão Microsoft.BotService/botServices/channels/write no escopo do recurso do serviço de bot.
| Built-in role | Scope | O atribuídor pode configurar canais? |
|---|---|---|
| Owner | Bot service | ✔ Yes |
| Contributor | Bot service | ✔ Yes |
| Azure usuário de IA | Bot service | ✗ No |
| Gerente de Project de IA do Azure | Bot service | ✗ No |
| Azure proprietário da conta de IA | Bot service | ✗ No |
| Azure Proprietário de IA | Bot service | ✗ No |
Atualizando o agente ou o aplicativo do agente
O fluxo de publicação define Canais (Azure Serviço de Bot) como o modo de autenticação no agente ou aplicativo do agente. O objeto que é atualizado depende do seu cenário:
- Cenário de aplicativo do agente: o objeto de aplicativo do agente é atualizado. Esta é uma operação de gravação do plano de controle. Os mesmos requisitos de função se aplicam conforme documentado em aplicativos do Agent.
- Cenário de ponto de extremidade do agente: o objeto do agente é atualizado. Esta é uma operação de gravação do plano de dados. Os mesmos requisitos de função se aplicam conforme documentado em Criar uma nova versão do agente.
Para obter orientações passo a passo sobre a publicação no Teams ou Copilot M365, consulte Publish agents to Microsoft 365 Copilot and Microsoft Teams.
Agent interaction
Interagir com o agente requer que o usuário ou entidade de serviço de chamada tenha uma permissão de plano de dados. Para interagir com um aplicativo agent, eles precisam Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action no escopo do aplicativo do agente.
| Built-in role | Scope | O atribuídor pode interagir com o agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Azure usuário de IA | Foundry project | ✔ Yes |
| Gerente de Project de IA do Azure | Foundry project | ✔ Yes |
| Azure proprietário da conta de IA | Foundry project | ✗ No |
| Azure Proprietário de IA | Foundry project | ✔ Yes |
Agent observability
Exibindo dados de telemetria
Acessar dados de telemetria do agente requer permissões de leitura no recurso do Application Insights. Isso inclui a exibição de rastreamentos, logs e métricas por meio do portal Azure, portal do Foundry, APIs e ferramentas de monitoramento.
Atribua o Leitor de Monitoramento no escopo do recurso do Application Insights. As permissões */read nessa função acessam os dados subjacentes do workspace Log Analytics sem a necessidade de uma atribuição separada no escopo do workspace.
Se você precisar trabalhar diretamente no workspace Log Analytics, atribua Log Analytics Reader no escopo do workspace.
| Built-in role | Scope | O usuário pode acessar dados de telemetria do agente? |
|---|---|---|
| Owner | Application Insights | ✔ Yes |
| Contributor | Application Insights | ✔ Yes |
| Azure usuário de IA | Application Insights | ✗ Não (vê métricas, mas não rastreamentos) |
| Gerente de Project de IA do Azure | Application Insights | ✗ No |
| Azure proprietário da conta de IA | Application Insights | ✗ Não (vê métricas, mas não rastreamentos) |
| Azure Proprietário de IA | Application Insights | ✗ No |
| Monitoring Reader | Application Insights | ✔ Yes |
| Leitor de Log Analytics | Workspace do Log Analytics | ✔ Sim (diretamente do workspace) |
Exibição de custo na moeda de cobrança
Exibir os custos na moeda de cobrança no portal do Foundry requer a permissão Microsoft.Billing/billingProperty/read. Essa permissão requer uma assinatura ou atribuição com escopo de conta de cobrança. O escopo do grupo de recursos não abrange essa permissão.
Essa permissão é para a conveniência de exibição do portal e não é necessária para a funcionalidade do agente hospedado. Você pode omitir com segurança essa permissão para a maioria dos usuários.
| Built-in role | Scope | O atribuídor pode exibir os custos na moeda de cobrança? |
|---|---|---|
| Owner | Subscription | ✔ Yes |
| Contributor | Subscription | ✔ Yes |
| Leitor de Gerenciamento de Custos | Subscription | ✔ Yes |
| Azure usuário de IA | Subscription | ✗ No |
Related content
- Agentes hospedados: conheça a arquitetura e o ciclo de vida do agente hospedado.
- controle de acesso baseado em Role para Microsoft Foundry: revise funções internas, escopos e padrões de atribuição.
- Identidade do agente: entenda como a identidade do agente e a identidade gerenciada do projeto diferem.