Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Ao trabalhar com agentes alojados no Microsoft Foundry, é importante compreender as várias permissões envolvidas. Existem várias classes de permissões envolvidas no desenvolvimento de agentes alojados, abrangendo o plano de controlo do Azure Resource Manager e o plano de dados do Foundry:
- Permissões concedidas a utilizadores ou principais que trabalham com recursos da Foundry
- Permissões concedidas ao projeto Fundição
- Permissões concedidas ao agente
Este artigo é um complemento ao controlo de acesso baseado em papéis para Microsoft Foundry, que introduz conceitos de controlo de acesso baseado em papéis (RBAC) e os papéis incorporados disponíveis no Microsoft Foundry. Deves familiarizar-te com esse artigo antes de avançar. Este artigo aborda as operações envolvidas no desenvolvimento e implementação de agentes alojados, as permissões necessárias para realizar essas operações e quais as funções incorporadas que abrangem essas permissões.
Para tarefas de implementação e ciclo de vida de ponta a ponta, consulte Implantar um agente hospedado e Gerir o ciclo de vida do agente hospedado. Para comportamentos específicos de identidade, veja Identidade do Agente.
Important
Deve sempre aderir ao princípio do menor privilégio ao atribuir permissões. Conceder apenas as permissões necessárias para que utilizadores e agentes possam realizar as suas tarefas, e rever e atualizar regularmente as permissões conforme necessário.
Papéis neste artigo
As permissões do Azure AI Foundry abrangem dois planos: o plano de controlo do Azure Resource Manager (ARM) e o plano de dados do Foundry. Os papéis de Proprietário e Contribuinte têm permissões amplas para planos de controlo ARM, mas não incluem permissões para planos de dados. As operações no plano de dados — como criar agentes ou interagir com eles — requerem funções Azure AI Foundry específicas como Azure Utilizador de IA, Azure Gestor de Project IA ou Azure Proprietário de IA.
Este artigo refere os seguintes papéis incorporados. Para informações sobre definições de papéis personalizados, veja Azure papéis personalizados.
| Role | Objetivo na implementação de agentes hospedados |
|---|---|
| Owner | Permissões completas para criar e gerir recursos do Azure |
| Contributor | Criar e gerir recursos do Azure |
| Administrador de Controlo de Acesso Baseado em Papéis | Create role assignments on Azure resources |
| Azure Utilizador de IA | Criar agentes, realizar inferência de modelos e interagir com agentes |
| Azure AI Project Gestor | Gerir projetos, criar agentes, realizar inferência de modelos, interagir com agentes e criar atribuições de funções |
| Azure Proprietário da Conta IA | Criar implementações, gerir projetos e gerir recursos ao nível da conta. Criar atribuições de funções apenas para operações no plano de controlo. Não é possível realizar operações de plano de dados, como criar ou interagir com agentes. |
| Azure Proprietário da IA | Permissões de plano de controlo completo e plano de dados sobre recursos da conta, mas não é possível criar atribuições de papéis |
| Leitor de Repositório do Registo de Contentores | Extrair imagens de contentores do registo |
| Escritor de Repositórios de Registos de Contentores | Enviar imagens de contentores para o registo |
| AcrPull | Extrair imagens de contentores do registo |
| AcrPush | Enviar imagens de contentores para o registo |
| Log Analytics Leitor de Dados | Leia dados de telemetria para avaliações |
| Utilizador OpenAI de Serviços Cognitivos | Aceda diretamente aos endpoints OpenAI ao nível da conta |
| Utilizador de Serviços Cognitivos | Aceda diretamente a capacidades ao nível da conta (Fala, Visão, Linguagem) |
Caution
Embora possa parecer um papel apropriado para um programador a trabalhar com agentes alojados, o papel incorporado de Azure Desenvolvedor de IA é insuficiente para cenários de agentes alojados. Este papel está destinado aos hubs de Azure Machine Learning e Foundry, não aos recursos do projeto Foundry usados pelos agentes alojados, e não inclui as permissões de gestão de recursos necessárias para a implementação de agentes alojados.
Diagnóstico rápido por sintoma
Use estes links para saltar diretamente para secções que abordam questões comuns de permissões:
- Não é possível criar agente: Ver criação de agente
- O Agente não pode aceder a modelos: Veja Criação de Agente e Acesso opcional à conta
- Falhas de implementação: Ver Deployment do agente hospedado e Azure Container Registry setup
- Agent não pode puxar imagens em tempo de execução: Ver Azure Container Registry setup
- Interação com Agente falha: Ver Interação com Agente
- Falhas na atribuição de papéis: Veja Criar que a atribuição de funções requer secções e configuração de ligações
- Não é possível publicar o agente para o Teams ou M365 Copilot: Veja Azure Bot Service setup
Arquitetura de solução de agente hospedado
Uma configuração completa de agente alojado envolve múltiplos recursos Azure, atribuições de identidade e ligações a trabalhar em conjunto. O diagrama seguinte mostra os componentes-chave e as suas relações:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
O diagrama acima mostra como os recursos estão organizados hierarquicamente e quais as atribuições de funções que permitem a comunicação entre eles. As secções seguintes fornecem requisitos detalhados de configuração para cada componente.
Recursos Azure necessários
Cada implementação de agente hospedado requer que estes recursos Azure estejam devidamente configurados:
-
Uma conta da Foundry
- Uma atribuição de funções permite que a identidade gerida pelo projeto aceda à conta para aceder ao modelo.
Azure AI Useré o papel incorporado recomendado.
- Uma atribuição de funções permite que a identidade gerida pelo projeto aceda à conta para aceder ao modelo.
- Um modelo de implementação (na conta)
-
Um projeto Foundry (na conta)
- O projeto tem uma identidade gerida. O projeto também recebe um blueprint e identidade de agente quando o seu primeiro agente é criado.
- Uma atribuição de funções permite que a identidade do agente hospedado aceda ao projeto para aceder ao modelo.
Azure AI Useré o papel incorporado recomendado. - As atribuições de funções permitem que os utilizadores do cliente ou os principais interajam com agentes no projeto em tempo de execução.
Azure AI Useré o papel incorporado recomendado.
-
Um agente alojado (no projeto)
- O agente recebe automaticamente um blueprint e a identidade do agente.
- Uma versão agente (no objeto agente hospedado)
-
An Azure Container Registry (ACR)
- Uma atribuição de função permite que a identidade gerida do projeto retire imagens do registo. O Container Registry Repository Reader é o papel incorporado recomendado.
- Uma atribuição de funções permite que um utilizador ou principal de serviço que implemente o agente envie imagens para o registo. O Container Registry Repository Writer é o papel recomendado para integrar.
- Um componente de Insights de Aplicação
-
Um espaço de trabalho Log Analytics (ligado ao componente Application Insights)
- Uma atribuição de funções permite que a identidade gerida do projeto leia a telemetria para avaliações. Log Analytics Data Reader é o papel incorporado recomendado.
-
Vários recursos de ligação (no projeto):
- É criada uma ligação para o Azure Container Registry, que o projeto utiliza para extrair imagens.
- É criada uma ligação para o Application Insights, que o projeto utiliza para emitir telemetria para os seus agentes. Esta ligação não usa identidade por defeito.
Algum conjunto de utilizadores ou principais necessita de permissão para criar e gerir estes recursos. Este artigo assume uma configuração em que os recursos do Azure estão todos dentro do mesmo grupo de recursos, e mostra a concessão de acesso de escrita sobre esse grupo de recursos. Esta abordagem de grupos de recursos é uma configuração comum para muitas equipas, mas a sua configuração específica pode variar. Se tiver uma estratégia diferente de organização de recursos, poderá precisar de dividir as permissões entre os grupos de recursos que utiliza.
Esta lista não inclui recursos de networking. No entanto, o utilizador ou principal do serviço que fornece os recursos do Azure pode também precisar de permissão para criar e gerir redes virtuais, sub-redes e endpoints privados para proteger os recursos.
Agent applications
Se utilizar aplicações de agente, a lista inclui também:
-
Uma aplicação de agente (no projeto)
- A aplicação do agente recebe automaticamente um blueprint e identidade do agente. Repita quaisquer atribuições de funções para a identidade do agente hospedado com a identidade do agente da aplicação do agente.
- Uma implementação de agente (na aplicação agente)
Azure resource setup
Configuração de conta Foundry
Criar uma conta Foundry requer a permissão Microsoft.CognitiveServices/accounts/write no âmbito do grupo de recursos.
| Built-in role | Scope | O destinatário pode criar uma conta Foundry? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Utilizador do Azure AI | Resource group | ✗ No |
| Gestor de Projetos de IA do Azure | Resource group | ✗ No |
| Proprietário da conta do Azure AI | Resource group | ✔ Yes |
| Responsável do Azure AI | Resource group | ✔ Yes |
A identidade gerida do projeto necessita de acesso à conta Foundry para realizar a inferência do modelo através do endpoint do projeto. O acesso ao projeto é coberto pelo papel Azure AI User no âmbito da conta Foundry. Esta atribuição de função pode ser criada automaticamente quando o projeto é criado, dependendo das permissões do utilizador ou do principal do serviço que cria o projeto.
Podem ser necessárias mais atribuições de funções se o seu código de agente aceder diretamente ao endpoint OpenAI ao nível da conta ou a outras capacidades ao nível da conta que não sejam proxiadas pelo endpoint do projeto. Para mais informações, consulte Acesso opcional à conta.
Model deployment
Criar uma implementação de modelo requer a permissão Microsoft.CognitiveServices/accounts/deployments/write no âmbito da conta Foundry.
| Built-in role | Scope | O destinatário pode implementar um modelo numa conta Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Utilizador do Azure AI | Foundry account | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry account | ✗ No |
| Proprietário da conta do Azure AI | Foundry account | ✔ Yes |
| Responsável do Azure AI | Foundry account | ✔ Yes |
Project setup
Criar um projeto Foundry requer a permissão Microsoft.CognitiveServices/accounts/projects/write no âmbito da conta Foundry.
| Built-in role | Scope | O destinatário pode criar um projeto Foundry? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Utilizador do Azure AI | Foundry account | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry account | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry account | ✔ Yes |
| Responsável do Azure AI | Foundry account | ✔ Yes |
Se o criador do projeto tiver a capacidade de atribuir a função Azure AI User no âmbito da conta, o sistema cria automaticamente duas atribuições de funções:
- O criador do projeto recebe o papel de Utilizador de IA Azure no âmbito da conta Foundry.
- A identidade gerida do projeto recebe o papel Azure AI User no âmbito da conta Foundry.
É necessária uma atribuição de função semelhante para a identidade do agente ao longo do projeto. Para mais informações, consulte a secção de criação de agentes .
Azure Container Registry setup
Criar um Azure Container Registry requer a permissão Microsoft.ContainerRegistry/registries/write no âmbito do grupo de recursos.
Note
Para agentes alojados, o registo de contentores deve estar atualmente acessível através do seu endpoint público. Colocar ACR atrás de uma rede privada (endpoint privado com acesso à rede pública desativado) não é atualmente suportado. Para a lista completa de restrições de rede, veja Limitações.
| Built-in role | Scope | O destinatário pode criar um registo de contentores? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Utilizador do Azure AI | Resource group | ✗ No |
| Gestor de Projetos de IA do Azure | Resource group | ✗ No |
| Proprietário da conta do Azure AI | Resource group | ✗ No |
| Responsável do Azure AI | Resource group | ✗ No |
A identidade gerida do projeto necessita de permissões para extrair a imagem do ACR. Existem dois papéis incorporados adequados a esta tarefa, que devem ser atribuídos no âmbito de recursos do registo ACR:
- Leitor de Repositório do Registo de Contentores (preferido porque modela o pull como uma ação de dados)
- AcrPull
Criar essa atribuição de função requer a permissão Microsoft.Authorization/roleAssignments/write no âmbito do registo ACR.
Para detalhes sobre a atribuição de funções em Azure, veja Criar atribuições de Azure de funções.
| Built-in role | Scope | O designado pode criar uma atribuição de funções? |
|---|---|---|
| Owner | ACR registry | ✔ Yes |
| Contributor | ACR registry | ✗ No |
| Utilizador do Azure AI | ACR registry | ✗ No |
| Gestor de Projetos de IA do Azure | ACR registry | ✗ No1 |
| Proprietário da conta do Azure AI | ACR registry | ✗ No1 |
| Responsável do Azure AI | ACR registry | ✗ No |
| Administrador de Controlo de Acesso Baseado em Funções | ACR registry | ✔ Yes |
1 Estas funções têm roleAssignments/write mas estão limitadas a atribuir apenas a função Azure AI User, que não cobre permissões ACR.
O utilizador ou principal do serviço que envia imagens para o registo também precisa de uma atribuição de funções. Para mais informações, consulte a secção de implementação de agentes alojados .
Configuração de Insights de Aplicações e Log Analytics
Criar um recurso Application Insights requer a permissão Microsoft.Insights/components/write no âmbito do grupo de recursos.
| Built-in role | Scope | O destinatário pode criar um recurso Application Insights? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Utilizador do Azure AI | Resource group | ✗ No |
| Gestor de Projetos de IA do Azure | Resource group | ✗ No |
| Proprietário da conta do Azure AI | Resource group | ✗ No |
| Responsável do Azure AI | Resource group | ✗ No |
Criar um espaço de trabalho Log Analytics requer a permissão Microsoft.OperationalInsights/workspaces/write no âmbito do grupo de recursos.
| Built-in role | Scope | O destinatário pode criar um espaço de trabalho de Log Analytics? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Utilizador do Azure AI | Resource group | ✗ No |
| Gestor de Projetos de IA do Azure | Resource group | ✗ No |
| Proprietário da conta do Azure AI | Resource group | ✗ No |
| Responsável do Azure AI | Resource group | ✗ No |
Se planeia usar a funcionalidade de avaliações, a identidade gerida do projeto precisa de permissões para ler a partir do espaço de trabalho Log Analytics. Pode permitir este acesso concedendo o papel Log Analytics Data Reader à identidade gerida do projeto no âmbito do espaço de trabalho Log Analytics.
Criar essa atribuição de função requer a permissão Microsoft.Authorization/roleAssignments/write no âmbito do espaço de trabalho Log Analytics.
Para detalhes sobre a atribuição de funções em Azure, veja Criar atribuições de Azure de funções.
| Built-in role | Scope | O designado pode criar uma atribuição de funções? |
|---|---|---|
| Owner | área de trabalho do Log Analytics | ✔ Yes |
| Contributor | área de trabalho do Log Analytics | ✗ No |
| Utilizador do Azure AI | área de trabalho do Log Analytics | ✗ No |
| Gestor de Projetos de IA do Azure | área de trabalho do Log Analytics | ✗ No1 |
| Proprietário da conta do Azure AI | área de trabalho do Log Analytics | ✗ No1 |
| Responsável do Azure AI | área de trabalho do Log Analytics | ✗ No |
| Administrador de Controlo de Acesso Baseado em Funções | área de trabalho do Log Analytics | ✔ Yes |
1 Estas funções têm roleAssignments/write mas estão limitadas a atribuir apenas a função Azure AI User, que não cobre permissões Log Analytics.
Connections setup
Criar uma ligação requer o Microsoft.CognitiveServices/accounts/projects/connections/write permissão no âmbito do projeto Foundry.
| Built-in role | Scope | O destinatário pode criar uma ligação? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Utilizador do Azure AI | Foundry project | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✔ Yes |
| Responsável do Azure AI | Foundry project | ✔ Yes |
O utilizador ou principal do serviço que cria as ligações também necessita da informação de ligação para o componente Application Insights e para o registo de contentores. Os detalhes da ligação podem ser fornecidos pelo utilizador ou pelo principal do serviço que criou esses recursos, ou por acesso de leitura sobre esses recursos.
Note
Os agentes alojados frequentemente usam ferramentas e ligações que direcionam mais recursos do Azure. Esses recursos podem exigir atribuições adicionais de funções para a identidade que chama ou para a identidade do agente no escopo do recurso de destino. Por exemplo, ferramentas que acedem ao Storage, Pesquisa de IA do Azure, Key Vault ou bases de dados normalmente requerem as suas próprias permissões de plano de dados, além das permissões de configuração principais documentadas neste artigo.
Agent applications
Se usares aplicações de agente, precisas de criar uma aplicação de agente no projeto Foundry. Criar uma aplicação de agente requer o Microsoft.CognitiveServices/accounts/projects/applications/write permissão no âmbito do projeto Foundry.
| Built-in role | Scope | O destinatário pode criar uma aplicação de agente? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✔ Yes |
| Utilizador do Azure AI | Foundry project | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✔ Yes |
| Responsável do Azure AI | Foundry project | ✔ Yes |
agentDeployment os objetos também são recursos ARM, mas são criados como parte do processo de implementação do agente alojado. Para mais informações, consulte Implementação de agentes hospedados.
Agent creation
Os agentes são criados através de uma operação de plano de dados. Criar um agente requer o Microsoft.CognitiveServices/accounts/AIServices/agents/write permissão no âmbito do projeto Foundry.
| Built-in role | Scope | O destinatário pode criar um agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Utilizador do Azure AI | Foundry project | ✔ Yes |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✗ No |
| Responsável do Azure AI | Foundry project | ✔ Yes |
Como a identidade do agente pode só estar disponível depois de o agente ser criado, algumas atribuições de funções não podem ser criadas até depois deste ponto. Para realizar inferência de modelos com o endpoint do projeto, a identidade do agente requer as seguintes permissões no âmbito do projeto Foundry:
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(para definições personalizadas, useMicrosoft.CognitiveServices/accounts/AIServices/agents/*/read) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(para definições personalizadas, useMicrosoft.CognitiveServices/accounts/AIServices/agents/*/write)
| Built-in role | Scope | O agente atribuído pode realizar inferência de modelo? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Utilizador do Azure AI | Foundry project | ✔ Yes |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✗ No |
| Responsável do Azure AI | Foundry project | ✔ Yes |
Tip
Azure AI User é o papel incorporado de menor privilégio que pode realizar inferência de modelos com o endpoint do projeto. No entanto, inclui um conjunto mais amplo de permissões do que o estritamente necessário para esta operação. Para diminuir o privilégio dado ao seu agente, considere criar um papel personalizado apenas com Microsoft.CognitiveServices/accounts/AIServices/responses/*, Microsoft.CognitiveServices/accounts/AIServices/agents/*/read e Microsoft.CognitiveServices/accounts/AIServices/agents/*/write.
Criar essa atribuição de função requer o Microsoft.Authorization/roleAssignments/write permissão no âmbito do projeto Foundry.
Para detalhes sobre a atribuição de funções em Azure, veja Criar atribuições de Azure de funções.
| Built-in role | Scope | O designado pode criar uma atribuição de funções? |
|---|---|---|
| Owner | Foundry project | ✔ Yes |
| Contributor | Foundry project | ✗ No |
| Utilizador do Azure AI | Foundry project | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Sim, para o papel Azure AI User1 |
| Proprietário da conta do Azure AI | Foundry project | ✔ Sim, para o papel Azure AI User1 |
| Responsável do Azure AI | Foundry project | ✗ No |
| Administrador de Controlo de Acesso Baseado em Funções | Foundry project | ✔ Yes |
1 Tanto Azure AI Project Manager como Azure AI Account Owner têm uma restrição de que só podem atribuir o papel Azure AI User. Se planeias usar uma definição de papel personalizada para o agente aceder ao project, Azure AI Project Manager e Azure AI Account Owner não poderão atribuir esse papel personalizado.
Important
Como uma atribuição de função é necessária após a criação do agente, o utilizador ou principal que cria o agente também precisa de permissão para criar atribuições de funções.
Azure AI Project Manager no âmbito project é a atribuição de função recomendada para criadores de agentes, pois esse papel inclui tanto as permissões necessárias para o plano de dados como a capacidade de atribuir o papel Azure AI User.
Acesso opcional à conta
Quando se utiliza o Foundry SDK e o endpoint do projeto para inferência de modelos, o proxie proxies de chamadas de inferência para a implementação ao nível da conta usando a sua própria identidade gerida. No entanto, se o código do seu agente contornar o endpoint do projeto e chamar diretamente o endpoint OpenAI ao nível da conta (por exemplo, https://{account}.cognitiveservices.azure.com), a identidade do agente necessita de um dos seguintes papéis no âmbito da conta:
- Serviços Cognitivos OpenAI User - cobre apenas ações de dados OpenAI.
- Azure AI User - cobre todas as ações de dados da CognitiveServices na conta.
As capacidades ao nível da conta não são proxiadas pelo endpoint do projeto. Estas capacidades incluem Fala, Segurança de Conteúdos, Imagem Digitalizada, Inteligência de Documentos, Linguagem e Tradutor. Exigem uma atribuição de função no âmbito da conta, se o seu agente os aceder diretamente. Para estas capacidades, atribui um dos seguintes papéis no âmbito da conta:
- Utilizador de Serviços Cognitivos - abrange Fala, Visão, Linguagem e outras capacidades não OpenAI.
- Azure AI User - cobre todas as ações de dados da CognitiveServices, incluindo OpenAI e as capacidades listadas anteriormente, com uma única subvenção.
Implementação do agente hospedado
As operações de implementação de agentes hospedados são operações de plano de controlo. Para orientações passo a passo sobre implementação, consulte Implementar um agente alojado.
Enviar uma imagem para o registo
O utilizador ou principal do serviço que implementa o agente precisa de permissão para enviar a imagem para o ACR. Existem dois papéis incorporados adequados a esta tarefa, que devem ser atribuídos no âmbito de recursos do registo ACR:
- Container Registry Repository Writer (preferido porque modela o push como uma ação de dados)
- AcrPush
Criar uma nova versão do agente
Criar um agente requer o Microsoft.CognitiveServices/accounts/AIServices/agents/write permissão no âmbito do projeto Foundry.
| Built-in role | Scope | O designado pode criar uma versão de agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Utilizador do Azure AI | Foundry project | ✔ Yes |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✗ No |
| Responsável do Azure AI | Foundry project | ✔ Yes |
Se usar aplicações agente, também precisa de criar um agentDeployment objeto que faça referência a uma versão de agente recém-implementada. Isto é uma operação de plano de gestão. Criar um objeto agentDeployment requer a permissão Microsoft.CognitiveServices/accounts/projects/applications/agentDeployments/write no âmbito da aplicação do agente.
| Built-in role | Scope | O destinatário pode criar um agentDeployment objeto? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Utilizador do Azure AI | Foundry account | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry account | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry account | ✔ Yes |
| Responsável do Azure AI | Foundry account | ✔ Yes |
Atualize o agente para usar a nova versão
Se usares o endpoint agente, a seleção de versões é configurada no objeto agente. Atualizar o agente para usar a nova versão requer a permissão Microsoft.CognitiveServices/accounts/AIServices/agents/write no âmbito do projeto Foundry.
| Built-in role | Scope | O destinatário pode atualizar a versão do agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Utilizador do Azure AI | Foundry project | ✔ Yes |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✗ No |
| Responsável do Azure AI | Foundry project | ✔ Yes |
Se, em vez disso, usar a aplicação agente, a seleção de versões é configurada no objeto da aplicação agente. Atualizar a aplicação agente para usar o novo objeto agentDeployment requer a permissão Microsoft.CognitiveServices/accounts/projects/applications/write no âmbito da aplicação agente.
| Built-in role | Scope | O destinatário pode atualizar a candidatura ao agente? |
|---|---|---|
| Owner | Foundry account | ✔ Yes |
| Contributor | Foundry account | ✔ Yes |
| Utilizador do Azure AI | Foundry account | ✗ No |
| Gestor de Projetos de IA do Azure | Foundry account | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry account | ✔ Yes |
| Responsável do Azure AI | Foundry account | ✔ Yes |
Azure Bot Service configuração
Publicar o seu agente no Microsoft Teams ou Microsoft 365 Copilot é opcional. Quando o fazes, o fluxo de publicação realiza operações no plano de controlo para criar um recurso Azure Bot Service e configurar os seus canais, atualizando depois o agente ou a aplicação do agente para permitir pedidos de Bot Service.
Criação do serviço de bots
Criar o recurso do serviço bot requer a permissão Microsoft.BotService/botServices/write no âmbito do grupo de recursos.
| Built-in role | Scope | O destinatário pode criar um serviço de bots? |
|---|---|---|
| Owner | Resource group | ✔ Yes |
| Contributor | Resource group | ✔ Yes |
| Utilizador do Azure AI | Resource group | ✗ No |
| Gestor de Projetos de IA do Azure | Resource group | ✗ No |
| Proprietário da conta do Azure AI | Resource group | ✗ No |
| Responsável do Azure AI | Resource group | ✗ No |
Note
Azure Bot Service é um tipo de recurso separado do Foundry. Azure funções incorporadas com âmbito de IA não incluem permissões Microsoft.BotService/*.
Configuring channels
Configurar os canais Teams e Microsoft 365 Extensões no serviço de bots requer a permissão Microsoft.BotService/botServices/channels/write no âmbito do recurso do serviço de bots.
| Built-in role | Scope | O destinatário pode configurar canais? |
|---|---|---|
| Owner | Bot service | ✔ Yes |
| Contributor | Bot service | ✔ Yes |
| Utilizador do Azure AI | Bot service | ✗ No |
| Gestor de Projetos de IA do Azure | Bot service | ✗ No |
| Proprietário da conta do Azure AI | Bot service | ✗ No |
| Responsável do Azure AI | Bot service | ✗ No |
Atualização do agente ou da aplicação do agente
O fluxo de publicação define os Canais (Azure Bot Service) como modo de autenticação no agente ou aplicação do agente. O objeto que é atualizado depende do seu cenário:
- Cenário de aplicação agente: O objeto de aplicação agente é atualizado. Esta é uma operação de escrita no plano de controlo. Os mesmos requisitos de função aplicam-se aos documentados nas candidaturas para Agentes.
- Cenário de endpoint do agente: O objeto agente é atualizado. Esta é uma operação de escrita no plano de dados. Os mesmos requisitos de função aplicam-se conforme documentado em Criar uma nova versão do agente.
Para orientações passo a passo sobre publicação para Teams ou M365 Copilot, consulte Publicar agentes para Microsoft 365 Copilot e Microsoft Teams.
Agent interaction
Interagir com o agente requer que o utilizador que chama ou o principal do serviço tenha uma permissão no plano de dados. Para interagir com uma aplicação agente, é necessário Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action no âmbito da aplicação agente.
| Built-in role | Scope | O designado pode interagir com o agente? |
|---|---|---|
| Owner | Foundry project | ✗ No |
| Contributor | Foundry project | ✗ No |
| Utilizador do Azure AI | Foundry project | ✔ Yes |
| Gestor de Projetos de IA do Azure | Foundry project | ✔ Yes |
| Proprietário da conta do Azure AI | Foundry project | ✗ No |
| Responsável do Azure AI | Foundry project | ✔ Yes |
Agent observability
Visualização de dados de telemetria
Aceder aos dados de telemetria do agente requer permissões de leitura no recurso Application Insights. Isto inclui visualizar rastos, registos e métricas através do portal Azure, portal Foundry, APIs e ferramentas de monitorização.
Atribuir o Leitor de Monitorização no âmbito de recursos Application Insights. As permissões */read neste papel acedem aos dados subjacentes Log Analytics do espaço de trabalho sem necessidade de uma atribuição separada com âmbito de espaço de trabalho.
Se precisares de trabalhar diretamente contra o Log Analytics workspace, atribui também Log Analytics Reader no âmbito do workspace.
| Built-in role | Scope | O destinatário pode aceder aos dados de telemetria do agente? |
|---|---|---|
| Owner | Application Insights | ✔ Yes |
| Contributor | Application Insights | ✔ Yes |
| Utilizador do Azure AI | Application Insights | ✗ Não (vê métricas, mas não vestígios) |
| Gestor de Projetos de IA do Azure | Application Insights | ✗ No |
| Proprietário da conta do Azure AI | Application Insights | ✗ Não (vê métricas, mas não vestígios) |
| Responsável do Azure AI | Application Insights | ✗ No |
| Monitoring Reader | Application Insights | ✔ Yes |
| Leitor de Log Analytics | Espaço de Trabalho do Log Analytics | ✔ Sim (diretamente do workspace) |
Exibição de custos na moeda de faturação
Os custos de visualização em moeda de faturação no portal Foundry requerem a permissão Microsoft.Billing/billingProperty/read. Esta autorização requer uma assinatura ou atribuição com âmbito de conta de faturação. O âmbito do grupo de recursos não cobre esta permissão.
Esta permissão é para conveniência de exibição do portal e não é necessária para a funcionalidade do agente hospedado. Pode omitir esta permissão com segurança para a maioria dos utilizadores.
| Built-in role | Scope | O destinatário pode ver os custos em moeda de faturação? |
|---|---|---|
| Owner | Subscription | ✔ Yes |
| Contributor | Subscription | ✔ Yes |
| Leitor de Gestão de Custos | Subscription | ✔ Yes |
| Utilizador do Azure AI | Subscription | ✗ No |
Related content
- Agentes alojados: Aprenda a arquitetura e o ciclo de vida dos agentes alojados.
- Controlo de acesso baseado em papéis para Microsoft Foundry: Revise funções incorporadas, âmbitos e padrões de atribuição.
- Identidade do agente: Compreenda como a identidade do agente e a identidade gerida pelo projeto diferem.