Controla a implementação de modelos de IA com políticas integradas no portal Microsoft Foundry (clássico)

Aplica-se apenas a:Portal Foundry (clássico). Este artigo não está disponível para o novo portal da Foundry. Saiba mais sobre o novo portal.

Nota

Os links neste artigo podem abrir conteúdo na nova documentação do Microsoft Foundry em vez da documentação do Foundry (clássico) que está a ver agora.

Use o Azure Policy para controlar quais os modelos de IA que os seus programadores podem implementar no portal Foundry. Este artigo mostra como atribuir a política incorporada para os modelos Managed Foundry Tools (implementação de APIs serverless) e Model-as-a-Platform (MaaP).

Dica

Os passos deste artigo regulam a implementação de modelos MaaS e MaaP tanto para um projeto Foundry como para um projeto baseado em hubs.

Pré-requisitos

Uma conta no Azure com uma subscrição ativa. Se não tiveres uma, cria uma conta Azure free, que inclui uma subscrição de teste gratuita.
Um dos seguintes papéis de Azure RBAC ao nível da subscrição ou do grupo de recursos:
- Proprietário
- Contribuinte de Política de Recursos
Familiaridade com Azure Policy.
CLI do Azure e o Bicep CLI instalado.

Ativar a política

Pode atribuir a política usando o Bicep ou o portal Azure.

Nota

A política chama-se "[Preview]: Azure Machine Learning Deployments deve usar apenas Modelos de Registo aprovados" porque a Foundry utiliza o fornecedor de recursos Azure Machine Learning para implementações de modelos.

Bicep
Portal Azure

Use o seguinte modelo Bicep para atribuir a política a um grupo de recursos. Este exemplo permite apenas o gpt-35-turbo modelo do azure-openai registo.

Guarde o código seguinte como main.bicep.

targetScope = 'resourceGroup'

param policyAssignmentName string = 'allowed-models-assignment'
param allowedModelPublishers array = []
param allowedAssetIds array = [
  'azureml://registries/azure-openai/models/gpt-35-turbo/versions/3'
]

// Policy Definition ID for "[Preview]: Azure Machine Learning Deployments should only use approved Registry Models"
var policyDefinitionId = '/providers/Microsoft.Authorization/policyDefinitions/12e5dd16-d201-47ff-849b-8454061c293d'

resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-04-01' = {
  name: policyAssignmentName
  properties: {
    policyDefinitionId: policyDefinitionId
    parameters: {
      allowedModelPublishers: {
        value: allowedModelPublishers
      }
      allowedAssetIds: {
        value: allowedAssetIds
      }
    }
    displayName: 'Allow specific AI models'
    description: 'This policy assignment restricts AI model deployments to the specified list.'
  }
}

Implemente o ficheiro Bicep usando CLI do Azure.
```
az deployment group create --resource-group <your-resource-group> --template-file main.bicep
```
Substitui <your-resource-group> pelo nome do teu grupo de recursos. Em caso de sucesso, o comando devolve JSON com "provisioningState": "Succeeded".

Verifique a atribuição da política.

az policy assignment show --name allowed-models-assignment --resource-group <your-resource-group>

Notifique os seus programadores de que a política está em vigor. Recebem uma mensagem de erro se tentarem implementar um modelo que não está na lista de modelos permitidos.

Referência:

No portal Azure, selecione Policy do lado esquerdo da página. Também pode pesquisar por Política na barra de pesquisa no topo da página.
Do lado esquerdo do Painel Azure Policy, selecione Authoring, Definition e depois procure "[Pré-visualização]: Azure Machine Learning Implementações devem usar apenas Modelos de Registo aprovados" na barra de pesquisa dentro da página. Também pode navegar diretamente para a página de criação de definição de políticas.
Selecione Atribuir para atribuir a política ao grupo de gestão:
- Âmbito: Selecione o âmbito onde pretende atribuir a política. O âmbito pode ser um grupo de gestão, subscrição ou grupo de recursos.
- Definição de política: esta secção já tem o valor "[Pré-visualização]: As implementações do Azure Machine Learning devem usar apenas os Modelos de Registo aprovados".
- Nome da tarefa: Introduza um nome único para a tarefa.
Pode deixar os restantes campos como valores padrão ou personalizá-los conforme necessário para a sua organização.
Selecione Seguinte no final da página ou no separador Parâmetros no topo da página.
No separador Parâmetros, desmarque Apenas mostrar parâmetros que precisam de introdução ou revisão para ver todos os campos:
- Efeito: Definir para Negar.
  
  Nota
  
  Ao usar a opção de auditoria , pode configurar a política para registar informações no seu próprio painel de conformidade.
- Modelos permitidos de editores: Introduza uma lista de nomes de editoras incluída entre aspas, separada por vírgulas.
- IDs de Ativos Permitidos: Introduza uma lista de IDs de ativos de modelo incluída entre aspas, separados por vírgulas.
  
  Para obter as cadeias de ID do ativo do modelo e o nome dos editores do modelo, use os seguintes passos:
  1. Vai ao catálogo de modelos da Foundry.
  2. Para cada modelo que quiser permitir, selecione o modelo para ver os detalhes. Na informação detalhada do modelo, copie o valor do ID do modelo . Por exemplo, o valor pode ser semelhante azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 ao modelo GPT-3.5-Turbo. Os nomes fornecidos também são Coleções no catálogo do modelo. Por exemplo, o editor do modelo "Meta-Llama-3.1-70B-Instruct" é o Meta.
    
    Importante
    
    O valor do ID do modelo deve ser uma correspondência exata ao modelo. Se o ID do modelo não for uma correspondência exata, o modelo não será permitido.
Selecione Rever + criar separador e verifique se a atribuição da política está correta. Quando estiver pronto, selecione Criar para atribuir a política.

Monitorizar a conformidade

Para monitorizar o cumprimento da política, siga estes passos:

No portal Azure, selecione Policy do lado esquerdo da página. Também pode pesquisar por Política na barra de pesquisa no topo da página.
Do lado esquerdo do Painel Azure Policy, selecione Compliance. Cada atribuição de política está listada com o estado de conformidade. Para ver mais detalhes, selecione a atribuição da política.

Atualizar a atribuição da política

Para atualizar uma atribuição de política existente com novos modelos, siga estes passos:

No portal Azure, selecione Policy do lado esquerdo da página. Também pode pesquisar por Política na barra de pesquisa no topo da página.
No lado esquerdo do Painel de Azure Policy, selecione Assignments e encontre a atribuição de política existente. Selecione as reticências (...) ao lado da tarefa e selecione Editar tarefa.
No separador Parâmetros , atualize o parâmetro Modelos Permitidos com os novos IDs de modelo.
Na aba Rever + Guardar, selecione Guardar para atualizar a atribuição da política.

Melhores práticas

Âmbito granular: Definir políticas no âmbito adequado para equilibrar controlo e flexibilidade. Por exemplo, candidate-se ao nível da subscrição para controlar todos os recursos da subscrição, ou candidate-se ao nível do grupo de recursos para controlar recursos num grupo específico.
Nomenclatura de políticas: Use uma convenção de nomenclatura consistente para atribuições de políticas que facilite a identificação do propósito da política. Inclua informações como o propósito e o âmbito no nome.
Documentação: Mantenha registos das atribuições e configurações de políticas para fins de auditoria. Documente quaisquer alterações que faça à apólice ao longo do tempo.
Revisões regulares: Reveja periodicamente as atribuições de políticas para garantir que estão alinhadas com os requisitos da sua organização.
Testes: Teste políticas num ambiente não produtivo antes de as aplicar a recursos de produção.
Comunicação: Certifique-se de que os promotores estão cientes das políticas em vigência e compreendem as implicações para o seu trabalho.

Resolução de problemas

Problema	Solução
A política não bloqueia implementações	Verifique se o âmbito da atribuição de políticas inclui o grupo de recursos-alvo. Verifica se o efeito está definido para Negar, não Auditar.
ID do modelo não reconhecido	Certifique-se de que o ID do modelo é uma correspondência exata, incluindo o número da versão (por exemplo, `azureml://registries/azure-openai/models/gpt-35-turbo/versions/3`).
Falha na atribuição de políticas	Confirme que tem o papel de Proprietário ou Contribuidor de Política de Recursos no âmbito alvo.
As alterações não entram em vigor imediatamente	A avaliação da política pode demorar até 30 minutos. Para forçar a avaliação, use `az policy state trigger-scan`.

Comentários

Esta página foi útil?

Last updated on 2026-05-01