Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Restrinja os recursos de visualização no Microsoft Foundry para manter os ambientes de produção focados em recursos disponíveis em geral. Este artigo aborda duas abordagens:
- Azure etiquetas ocultam superfícies de visualização no portal do Foundry (portais atuais e clássicos).
- As funções RBAC personalizadas bloqueiam operações de visualização específicas no nível da API.
Use tags para supressão no nível do portal e use funções RBAC personalizadas quando precisar bloquear operações ou permissões específicas.
Pré-requisitos
- Um recurso e um projeto da Foundry.
- Permissão para adicionar ou editar tags no escopo de destino no Azure. Por exemplo, Colaborador ou Colaborador de Tag.
- Uma assinatura Azure com permissões para criar funções personalizadas no escopo em que você deseja que a função seja atribuível (por exemplo, a função Proprietário ou a função administrador de acesso do usuário).
- Permissões para atribuir funções no escopo onde você concede acesso (por exemplo, a função Administrador de Controle de Acesso Baseado em Função ou a função Administrador de Acesso do Usuário).
- CLI do Azure instalado e autenticado, caso você crie papéis a partir da linha de comando. Para obter mais informações, consulte Instale o CLI do Azure.
- Acesso ao Azure portal.
Aplicar a etiqueta
Aplique o tag de supressão de recurso de pré-visualização no escopo que sua organização governa.
Importante
Use a chave e o valor exatos da tag:
- Chave de tag:
AZML_DISABLE_PREVIEW_FEATURE - Valor da tag:
true
Aplique o tag no escopo que corresponde às suas necessidades de governança.
- Assinatura para governança em toda a organização.
- Grupo de recursos para cobrir todos os recursos em um grupo.
- Recurso de fundição para controle granular.
Substitua <resource-id> pela ID de recurso completa de sua assinatura, grupo de recursos ou recurso do Foundry.
az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true
Para localizar a ID do recurso para um recurso de Fundição:
az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv
Remover a tag para reativar os recursos de visualização
Para restaurar recursos de pré-visualização, remova a tag AZML_DISABLE_PREVIEW_FEATURE.
az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true
Depois de remover a etiqueta, atualize a página do portal do Foundry ou saia e entre novamente. Os recursos de pré-visualização reaparecem em poucos minutos.
Verificar a supressão em ambas as experiências do portal
Depois que a tag for salva, permita alguns minutos para propagação e, em seguida, verifique o comportamento em ambos os ambientes.
- Abra Microsoft Foundry.
- Abra o projeto marcado.
- Valide se os recursos de interface do usuário apenas para visualização estão ocultos.
- No portal clássico, a ferramenta de funcionalidades de pré-visualização no canto superior direito está desabilitada.
- No novo portal, você não verá rótulos PREVIEW , pois os recursos na visualização não estarão mais visíveis.
- Alterne entre experiências novas e clássicas usando o New Foundry e valide o mesmo comportamento.
Resultado esperado: os recursos de visualização estão ocultos em experiências novas e clássicas do portal do Foundry.
Solucionar problemas de supressão
Use a tabela a seguir quando a supressão não se comportar conforme o esperado.
| Sintoma | Causa | Resolução |
|---|---|---|
| As funcionalidades de pré-visualização ainda aparecem após a aplicação da tag. | A chave ou o valor da etiqueta estão incorretos. | Verifique se a chave da tag é exatamente AZML_DISABLE_PREVIEW_FEATURE e se o valor é true (sensível a maiúsculas e minúsculas). Salve a etiqueta novamente. |
| A tag é aplicada, mas apenas alguns escopos são suprimidos. | A tag é aplicada em um escopo mais estreito do que o pretendido. | Verifique se o tag é aplicado no escopo de governança pretendido (assinatura, grupo de recursos ou recurso). Aplique-o em um escopo mais amplo, se necessário. |
| Os recursos de versão preliminar reaparecem após alguns minutos. | A sessão do navegador está usando um estado armazenado em cache. | Saia e entre novamente ou desmarque o cache do navegador e atualize o portal do Foundry. |
| Não é possível adicionar ou editar a etiqueta. | Sua conta não tem permissões de tag nesse escopo. | Verifique se você tem o papel de Colaborador ou Contribuidor de Etiquetas no escopo de destino. |
| Os recursos de pré-visualização ainda aparecem após a verificação do escopo, tag e permissões. | Possível atraso de propagação ou bug do produto. | Aguarde alguns minutos para propagação. Se o problema persistir, registre uma solicitação de suporte. |
Bloquear funcionalidades de pré-visualização com funções RBAC personalizadas
Você pode bloquear o acesso a recursos de visualização específicos criando uma função de Azure personalizada que exclui as permissões correspondentes e atribuindo essa função aos usuários.
Como não é possível modificar funções internas, você cria uma função personalizada que usa notDataActions (ou notActions para recursos do plano de controle, como o Rastreamento) para excluir as permissões que deseja bloquear.
A tabela a seguir resume os recursos de visualização que você pode bloquear e o tipo de permissões a serem excluídas.
| Recurso de visualização | Caminho do provedor de recursos | Tipo de permissão | Campo de exclusão |
|---|---|---|---|
| Serviço de Agente | Microsoft.CognitiveServices/accounts/AIServices/agents/* |
Ação de dados | notDataActions |
| Compreensão de conteúdo | Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* |
Ação de dados | notDataActions |
| Ajuste fino |
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* e caminhos relacionados |
Ação de dados | notDataActions |
| Avaliações | Microsoft.CognitiveServices/accounts/AIServices/evaluations/* |
Ação de dados | notDataActions |
| Segurança de conteúdo | Microsoft.CognitiveServices/accounts/ContentSafety/* |
Ação de dados | notDataActions |
| Rastreamento | Microsoft.Insights/* |
Ação do plano de controle | notActions |
Criar uma função personalizada que bloqueia um recurso de visualização
Esta seção explica como criar uma definição de função personalizada e atribuí-la a um usuário. O exemplo bloqueia o Serviço de Agente, mas você pode substituir as ações relacionadas a dados das seções de funcionalidades neste artigo.
Etapa 1: Definir a função JSON
Crie um arquivo JSON nomeado custom-role.json com o conteúdo a seguir. Substitua <subscription-id> pela ID da assinatura Azure e adicione as ações de dados que você deseja bloquear para notDataActions.
{
"properties": {
"roleName": "Foundry custom role (preview features blocked)",
"description": "Custom role that excludes specific Foundry preview features.",
"assignableScopes": [
"/subscriptions/<subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/agents/write",
"Microsoft.CognitiveServices/accounts/AIServices/agents/read",
"Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
]
}
]
}
}
Dica
Se você clonar uma função existente ou usar permissões curinga em dataActions, adicione as ações de dados da função de visualização para notDataActions para que a função as exclua. Para Rastreamento, use notActions em vez disso porque o Rastreamento usa ações do plano de controle.
Etapa 2: Criar a função
az role definition create --role-definition custom-role.json
Etapa 3: Atribuir a função
az role assignment create \
--role "Foundry custom role (preview features blocked)" \
--assignee "<user-email-or-object-id>" \
--scope "/subscriptions/<subscription-id>"
Etapa 4: Verificar a atribuição de função
Confirme se a função personalizada exclui as permissões esperadas.
Liste as atribuições de função para o usuário e verifique se a função personalizada aparece:
az role assignment list --assignee "<user-email-or-object-id>" --output table
Exiba a definição de função personalizada para confirmar que notDataActions contém as ações de dados esperadas:
az role definition list --name "Foundry custom role (preview features blocked)" --output json
Pré-visualizar ações de dados de funcionalidades
Cada uma das seções a seguir lista as permissões para um recurso de visualização. Adicione as ações de dados às quais você deseja bloquear notDataActions em sua definição de função personalizada, exceto para Rastreamento, que usa ações do painel de controle em notActions.
Serviço de Agente
Adicione essas ações de dados no notDataActions à sua definição de função personalizada:
Microsoft.CognitiveServices/accounts/AIServices/agents/writeMicrosoft.CognitiveServices/accounts/AIServices/agents/readMicrosoft.CognitiveServices/accounts/AIServices/agents/delete
Para bloquear todas as operações do Serviço de Agente com uma única entrada, use o curinga Microsoft.CognitiveServices/accounts/AIServices/agents/*.
Compreensão de conteúdo
Adicione essas ações de dados no notDataActions à sua definição de função personalizada:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*
Se sua equipe rotula documentos na Foundry, também bloqueie as ações de dados de rotulagem. No editor de funções personalizadas do portal Azure, pesquise labelingProjects no Microsoft. CognitiveServices provedor de recursos para localizar as operações disponíveis, como:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete
Nota
Verifique as ações exatas de dados labelingProjects no portal Azure, pois as operações disponíveis podem mudar conforme o recurso evolui.
Ajuste fino
O ajuste fino usa vários caminhos de ação de dados em Microsoft.CognitiveServices/accounts/OpenAI/. Adicione cada caminho que você deseja bloquear a notDataActions na sua definição de função personalizada.
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*Microsoft.CognitiveServices/accounts/OpenAI/files/*Microsoft.CognitiveServices/accounts/OpenAI/uploads/*Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*Microsoft.CognitiveServices/accounts/OpenAI/evals/*Microsoft.CognitiveServices/accounts/OpenAI/models/*
Opcionalmente, se sua equipe executar tarefas de RLHF, também adicione:
Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*
Importante
Cada caminho listado é um escopo de ação de dados separado. O fine-tunes/* curinga corresponde apenas às operações em fine-tunes/. Para bloquear completamente o ajuste fino, inclua todos os caminhos listados.
Rastreamento
Importante
O rastreamento usa Azure Monitor, que é um serviço de plano de controle. As permissões listadas nesta seção são ações, não ações de dados. Adicione-os a notActions (não notDataActions) em sua definição de função personalizada.
Adicione estas ações à definição de função personalizada notActions.
Microsoft.Insights/alertRules/readMicrosoft.Insights/diagnosticSettings/readMicrosoft.Insights/logDefinitions/readMicrosoft.Insights/metricdefinitions/readMicrosoft.Insights/metrics/read
Bloquear essas ações de leitura impede que os usuários visualizem o painel Rastreamento no portal do Foundry. Usuários que precisam de acesso a rastreamento exigem um papel separado que inclua as ações de leitura Microsoft.Insights, como um papel de Leitor no recurso do Application Insights conectado.
Avaliações
Adicione essas ações de dados no notDataActions à sua definição de função personalizada:
Microsoft.CognitiveServices/accounts/AIServices/evaluations/writeMicrosoft.CognitiveServices/accounts/AIServices/evaluations/readMicrosoft.CognitiveServices/accounts/AIServices/evaluations/delete
Segurança de conteúdo
Adicione essas ações de dados no notDataActions à sua definição de função personalizada:
Microsoft.CognitiveServices/accounts/ContentSafety/*
Para bloquear apenas operações específicas de Segurança de Conteúdo em vez de todas as operações, pesquise ContentSafety no editor de funções personalizadas do portal Azure e selecione as ações de dados individuais que você deseja excluir.
Solucionar problemas de RBAC
| Sintoma | Causa | Resolução |
|---|---|---|
| O usuário ainda pode acessar um recurso bloqueado. | A atribuição de função pode ainda não ter se propagado ou o usuário tem outra função que concede a permissão bloqueada. | Aguarde alguns minutos para propagação. Verifique todas as atribuições de função para o usuário com az role assignment list --assignee "<user>". Remova quaisquer funções conflitantes que concedam as ações de dados bloqueadas. |
| A criação de função personalizada falha com "ação de dados inválida". | O caminho da ação de dados pode estar escrito incorretamente ou o provedor de recursos pode não estar registrado. | Verifique o caminho da ação de dados no editor de funções personalizadas do portal Azure. Verifique se o provedor de recursos Microsoft.CognitiveServices está registrado em sua assinatura. |
As permissões de rastreamento não são bloqueadas após serem adicionadas a notDataActions. |
O rastreamento usa ações de plano de controle (Microsoft.Insights), não ações de dados. |
Mova as entradas de Microsoft.Insights de notDataActions para notActions na definição de função. |