Política interna para implantação de modelo no portal do Microsoft Foundry

Azure Policy fornece definições de política internas que ajudam a controlar a implantação de modelos de IA no portal do Microsoft Foundry. Você pode usar essas políticas para controlar quais modelos seus desenvolvedores podem implantar no portal do Foundry.

Pré-requisitos

Uma conta Azure com uma assinatura ativa. Se você não tiver uma, crie uma conta free Azure. Sua conta de Azure permite acessar o portal do Foundry.
Permissões para criar e atribuir políticas. Para criar e atribuir políticas, você deve ser um Proprietário ou Contribuinte de Política de Recursos no nível de assinatura ou grupo de recursos do Azure.
Familiaridade com Azure Policy. Para saber mais, confira O que é Azure Policy?.

Use CLI do Azure para encontrar a definição de política integrada e atribuí-la em um escopo.

Entre e selecione a assinatura em que você deseja trabalhar:
```
az login
az account set --subscription "<subscription-id>"
```

Encontre o ID da definição de política para a definição integrada:

az policy definition list \
   --query "[?displayName=='Cognitive Services Deployments should only use approved Registry Models'].{name:name, id:id}" \
   --output table

Resultado esperado: uma linha que contenha a política id.

Criar um arquivo de parâmetros (exemplo):
```
{
   "effect": {
      "value": "Deny"
   },
   "allowedPublishers": {
      "value": ["OpenAI"]
   },
   "allowedAssetIds": {
      "value": [
         "azureml://registries/azure-openai/models/gpt-35-turbo/versions/3"
      ]
   }
}
```
Resultado esperado: um arquivo JSON que corresponda aos nomes dos editores e IDs dos modelos aprovados.

Importante

Os nomes de parâmetro neste exemplo devem corresponder à definição de política que você atribui. Se houver diferenças no seu locatário, atualize as chaves JSON para que correspondam aos parâmetros da definição de política.

Atribua a política a um escopo (exemplo: escopo de assinatura):

az policy assignment create \
   --name "allow-only-approved-registry-models" \
   --display-name "Allow only approved registry models" \
   --scope "/subscriptions/<subscription-id>" \
   --policy "<policy-definition-id>" \
   --params @params.json

Resultado esperado: o comando retorna uma carga JSON que inclui a atribuição id.

Referência:

az policy definition list (lista de definições de políticas do Azure)
az policy assignment create (comando para criar uma atribuição de política no Azure)
Atribuições de Azure Policy

No portal Azure, selecione Policy no lado esquerdo da página. Você também pode pesquisar política na barra de pesquisa na parte superior da página.
No lado esquerdo do Painel do Azure Policy, selecione Authoring>Definitions. Em seguida, pesquise por Cognitive Services Deployments should only use approved Registry Models.
Selecione Atribuir para atribuir a política:
- Escopo: selecione o escopo no qual você deseja atribuir a política. O escopo pode ser um grupo de gerenciamento, uma assinatura ou um grupo de recursos.
- Definição de política: esta seção já tem um valor de Cognitive Services Deployments should only use approved Registry Models.
- Nome da atribuição: insira um nome exclusivo para a atribuição.
Você pode manter os valores padrão para o restante dos campos ou personalizá-los conforme necessário para sua organização.
Selecione Avançar na parte inferior da página ou na guia Parâmetros na parte superior da página.
Na guia Parâmetros, desmarque Mostrar apenas os parâmetros que precisam de entrada ou revisão para ver todos os campos:
- Efeito: Definir como Negar.
  
  Nota
  
  Usando a opção de auditoria , você pode configurar a política para registrar informações no seu próprio painel de conformidade.
- Editores de Modelos Permitidos: insira uma lista de nomes de editores entre aspas, separados por vírgulas. Aqui está um exemplo que mostra onde encontrar um nome de editor:
  1. Vá para o catálogo de modelos no portal do Foundry.
  2. Selecione um modelo (por exemplo, GPT-5).
  3. Você encontra o nome do editor no cartão de modelo, conforme mostrado na captura de tela a seguir. Por exemplo, nesse caso, é OpenAI.
- IDs de ativo permitidas: insira uma lista de IDs de ativo de modelo entre aspas, separadas por vírgulas.
  
  Para obter as strings de ID dos ativos do modelo e os nomes dos editores do modelo, siga os passos abaixo:
  1. Vá para o catálogo de modelos.
  2. Para cada modelo que você deseja permitir, selecione o modelo para exibir os detalhes. Nas informações de detalhes do modelo, copie o valor da ID do modelo . Por exemplo, o valor pode ser semelhante azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 ao modelo GPT-3.5-Turbo.
    
    Importante
    
    O valor de identificação do modelo deve corresponder exatamente ao modelo. Se o ID do modelo não corresponder exatamente, a política não funcionará como esperado.
  3. Selecione a guia Examinar + criar e verifique se a atribuição de política está correta. Quando estiver pronto, selecione Criar para atribuir a política.
  4. Notifique os desenvolvedores de que a política está em vigor. Eles receberão uma mensagem de erro se tentarem implantar um modelo que não esteja na lista de modelos permitidos.

Monitorar a conformidade

Para monitorar a conformidade com a política, siga estas etapas:

No portal Azure, selecione Policy no lado esquerdo da página. Você também pode pesquisar política na barra de pesquisa na parte superior da página.
No lado esquerdo do Painel do Azure Policy, selecione Compliance. Cada atribuição de política é listada com o status de conformidade. Para exibir mais detalhes, selecione a atribuição de política.

Atualizar a atribuição de política

Para atualizar uma atribuição de política existente com novos modelos, siga estas etapas:

No portal Azure, selecione Policy no lado esquerdo da página. Você também pode pesquisar política na barra de pesquisa na parte superior da página.
No lado esquerdo do Painel do Azure Policy, selecione Assignments e localize a atribuição de política existente. Selecione as reticências (...) ao lado da atribuição e selecione Editar atribuição.
Na guia Parâmetros, atualize IDs de Ativos Permitidos e Editores de Modelos Permitidos com as novas IDs de modelos aprovadas e nomes de editores aprovados.
Na guia Revisar + Salvar , selecione Salvar para atualizar a atribuição de política.

Práticas recomendadas

Escopo granular: atribua políticas no escopo apropriado para equilibrar o controle e a flexibilidade. Por exemplo, aplique no nível da assinatura para controlar todos os recursos na assinatura ou aplique no nível do grupo de recursos para controlar os recursos em um grupo específico.
Nomenclatura de política: use uma convenção de nomenclatura consistente para atribuições de política para facilitar a identificação da finalidade da política. Inclua informações como a finalidade e o escopo no nome.
Marcas: use marcas para categorizar e gerenciar suas políticas. Por exemplo, marque políticas por ambiente (desenvolvimento, teste, prod) ou por departamento.
Documentação: mantenha registros de atribuições de política e configurações para fins de auditoria. Documente as alterações feitas na política ao longo do tempo.
Revisões regulares: revise periodicamente as atribuições de política para garantir que elas se alinhem aos requisitos da sua organização.
Teste: teste políticas em um ambiente de não produção antes de aplicá-las aos recursos de produção.
Comunicação: verifique se os desenvolvedores estão cientes das políticas em vigor e entendam as implicações para seu trabalho.

Verificar a eficácia da política

Depois de atribuir a política, verifique se ela funciona conforme o esperado:

Aguarde pelo menos 15 minutos para que a atribuição de política entre em vigor. Novas atribuições não se aplicam instantaneamente.
Tente implantar um modelo que não esteja na lista de permitidos. Se a política usar o efeito Negar , a implantação falhará com um erro de violação de política.
Confirme se a implantação de um modelo aprovado ainda é bem-sucedida.
Verifique o painel Compliance no Azure Policy para verificar se a política avalia os recursos corretamente. Recursos não compatíveis aparecem em um ciclo de avaliação de conformidade (normalmente até 24 horas).

Solucione problemas de falhas de atribuição de política

Sintoma	Causa	Resolução
A atribuição de política falha com um erro de permissões	Sua conta não tem a função Proprietário ou Colaborador de Política de Recurso no escopo de destino.	Atribua a função necessária e tente novamente. Consulte os pré-requisitos.
A política não bloqueia implantações não compatíveis	A atribuição de política ainda não foi propagada ou o efeito está definido como Auditar em vez de Negar.	Aguarde pelo menos 15 minutos e tente novamente. Verifique se o parâmetro Effect está definido como Negar.
O modelo aprovado é bloqueado inesperadamente	A ID do ativo de modelo ou o nome do editor nos parâmetros de política não corresponde exatamente ao modelo.	Compare os valores de parâmetro com o cartão de modelo no catálogo de modelos. IDs de ativos e nomes de editores diferenciam maiúsculas de minúsculas.
O painel de conformidade não mostra dados	A avaliação de conformidade ainda não foi concluída. Azure Policy avalia novas atribuições dentro de 24 horas.	Aguarde o próximo ciclo de avaliação ou dispare uma verificação de avaliação sob demanda.
Erro de incompatibilidade de nome do parâmetro durante a atribuição	As chaves de parâmetro JSON não correspondem à definição de política.	Execute `az policy definition show --name "<definition-id>"` para recuperar os nomes de parâmetro exatos da definição. Use `allowedPublishers` e `allowedAssetIds`.

visão geral Azure Policy
Visão geral do catálogo de modelos

Comentários

Esta página foi útil?

Last updated on 2026-04-30