Desativar funcionalidades de pré-visualização no Microsoft Foundry

Restringa as funcionalidades de pré-visualização no Microsoft Foundry para manter os ambientes de produção focados nas capacidades geralmente disponíveis. Este artigo aborda duas abordagens:

  • As etiquetas Azure ocultam superfícies de visualização no portal Foundry (nos portais atuais e clássicos).
  • Funções RBAC personalizadas bloqueiam operações de pré-visualização específicas ao nível da API.

Use etiquetas para supressão ao nível do portal e utilize papéis RBAC personalizados quando precisar de bloquear operações ou permissões específicas.

Pré-requisitos

  • Um recurso e projeto da Foundry.
  • Permissão para adicionar ou editar etiquetas no seu âmbito de destino no Azure. Por exemplo, Contribuidor ou Colaborador de Etiquetas.
  • Uma subscrição do Azure com permissões para criar funções personalizadas no âmbito onde pretende que a função seja atribuída (por exemplo, a função de Proprietário ou a função de Administrador de Acesso ao Utilizador).
  • Permissões para atribuir funções no âmbito onde atribui o acesso (por exemplo, a função de Administrador de Controlo de Acesso Baseado em Funções ou a função de Administrador de Acesso de Utilizador).
  • CLI do Azure instalado e sessão iniciada, se criar funções a partir da linha de comando. Para mais informações, consulte Instale o CLI do Azure.
  • Acesso ao portal Azure.

Aplique a etiqueta

Aplique a etiqueta de supressão de funcionalidades de pré-visualização no âmbito que a sua organização governa.

Importante

Use a chave e valor exatos da etiqueta:

  • Chave da etiqueta: AZML_DISABLE_PREVIEW_FEATURE
  • Valor da etiqueta: true

Aplique a etiqueta no âmbito que corresponde às suas necessidades de governação:

  • Subscrição para governação em toda a organização.
  • Grupo de recursos para cobrir todos os recursos de um grupo.
  • Fonte de recursos para controlo granular.

Substitua <resource-id> pelo ID completo do recurso da sua subscrição, grupo de recursos ou recurso da Foundry.

az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true

Para encontrar o ID de recurso de um recurso Foundry:

az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv

Remover a etiqueta para reativar as funcionalidades de pré-visualização

Para restaurar as funcionalidades de pré-visualização, remova a AZML_DISABLE_PREVIEW_FEATURE etiqueta.

az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true

Depois de remover a etiqueta, atualize o portal da Foundry ou faça logout e volte a entrar. As funcionalidades de pré-visualização reaparecem em poucos minutos.

Verifique a supressão em ambas as experiências de portais

Depois de a etiqueta ser guardada, permita alguns minutos para a propagação e depois verifique o comportamento em ambas as experiências.

  1. Abrir Microsoft Foundry.
  2. Abre o teu projeto marcado.
  3. Confirme que as funcionalidades de interface apenas de pré-visualização estão ocultas.
    • No portal clássico, a ferramenta de Pré-visualização de funcionalidades no canto superior direito está desativada.
    • No novo portal, não verá quaisquer etiquetas PRÉ-VISUALIZAÇÃO, pois as funcionalidades em pré-visualização deixarão de ser visíveis.
  4. Alterne entre experiências novas e clássicas usando o New Foundry e valide o mesmo comportamento.

Resultado esperado: as funcionalidades de pré-visualização estão escondidas tanto nas novas como nas clássicas experiências do portal Foundry.

Resolver problemas de supressão

Utilize a tabela seguinte quando a supressão não se comportar como previsto.

Sintoma Causa Resolução
As funcionalidades de pré-visualização continuam a aparecer após a aplicação da etiqueta. A chave ou valor da etiqueta está incorreto. Verifique se a chave da etiqueta é exatamente AZML_DISABLE_PREVIEW_FEATURE e o valor é true (sensível a maiúsculas e minúsculas). Guarde a etiqueta novamente.
A tag é aplicada, mas apenas alguns escopos são suprimidos. A etiqueta é aplicada num âmbito mais restrito do que o pretendido. Confirme que a etiqueta é aplicada no âmbito de governação pretendido (subscrição, grupo de recursos ou recurso). Aplique-o de forma mais ampla, se necessário.
As funcionalidades de pré-visualização reaparecem passados alguns minutos. A sessão do navegador está a usar um estado em cache. Saia e volte a entrar, ou limpe a cache do navegador e atualize o portal da Foundry.
Não é possível adicionar ou editar a etiqueta. A tua conta não tem permissões de tag nesse âmbito. Verifique se tem a função Contribuidor ou Contribuidor de Etiquetas no âmbito alvo.
As funcionalidades de pré-visualização continuam a aparecer após verificar o âmbito, a etiqueta e as permissões. Possível atraso na propagação ou bug do produto. Aguarde alguns minutos pela propagação. Se o problema persistir, faça um pedido de suporte.

Funcionalidades de pré-visualização de blocos com funções RBAC personalizadas

Pode bloquear o acesso a funcionalidades específicas de pré-visualização criando um papel Azure personalizado que exclua as permissões correspondentes, e depois atribuindo esse papel aos utilizadores.

Como não podes modificar as funções incorporadas, crias uma função personalizada que usa notDataActions (ou notActions para funcionalidades do plano de controlo como o Rastreamento) para excluir as permissões que queres bloquear.

A tabela seguinte resume as funcionalidades de pré-visualização que pode bloquear e o tipo de permissões a excluir.

Funcionalidade de pré-visualização Caminho do fornecedor de recursos Tipo de permissão Campo de exclusão
Serviço de Agente Microsoft.CognitiveServices/accounts/AIServices/agents/* Ação de dados notDataActions
Compreensão do Conteúdo Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* Ação de dados notDataActions
Ajuste fino Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* e caminhos relacionados Ação de dados notDataActions
Avaliações Microsoft.CognitiveServices/accounts/AIServices/evaluations/* Ação de dados notDataActions
Segurança de Conteúdos Microsoft.CognitiveServices/accounts/ContentSafety/* Ação de dados notDataActions
Rastreamento Microsoft.Insights/* Ação do plano de controlo notActions

Crie um papel personalizado que bloqueie uma funcionalidade de pré-visualização

Esta secção explica a criação de uma definição de função personalizada e a sua atribuição a um utilizador. O exemplo bloqueia o Serviço de Agente, mas pode substituir quaisquer ações de dados das secções de funcionalidades deste artigo.

Passo 1: Defina a função JSON

Crie um ficheiro JSON com o seguinte custom-role.json conteúdo. Substitua <subscription-id> pelo seu ID de subscrição Azure e adicione as ações de dados que quer bloquear ao notDataActions.

{
  "properties": {
    "roleName": "Foundry custom role (preview features blocked)",
    "description": "Custom role that excludes specific Foundry preview features.",
    "assignableScopes": [
      "/subscriptions/<subscription-id>"
    ],
    "permissions": [
      {
        "actions": [
          "Microsoft.CognitiveServices/*/read",
          "Microsoft.Authorization/*/read"
        ],
        "notActions": [],
        "dataActions": [
          "Microsoft.CognitiveServices/accounts/AIServices/*"
        ],
        "notDataActions": [
          "Microsoft.CognitiveServices/accounts/AIServices/agents/write",
          "Microsoft.CognitiveServices/accounts/AIServices/agents/read",
          "Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
        ]
      }
    ]
  }
}

Dica

Se clonares uma função existente ou usares permissões coringa em dataActions, adiciona notDataActions a funcionalidade de pré-visualização das ações de dados para que a função as exclua. Para o rastreio, utilize notActions em vez disso porque o rastreio utiliza ações do plano de controlo.

Passo 2: Criar o papel

az role definition create --role-definition custom-role.json

Passo 3: Atribuir o papel

az role assignment create \
    --role "Foundry custom role (preview features blocked)" \
    --assignee "<user-email-or-object-id>" \
    --scope "/subscriptions/<subscription-id>"

Passo 4: Verificar a atribuição de funções

Confirme que o papel personalizado exclui as permissões esperadas.

Liste as atribuições de funções ao utilizador e verifique se a função personalizada aparece:

az role assignment list --assignee "<user-email-or-object-id>" --output table

Visualize a definição de função personalizada para confirmar que notDataActions contém as ações de dados esperadas.

az role definition list --name "Foundry custom role (preview features blocked)" --output json

Pré-visualização das ações de dados da funcionalidade

Cada uma das secções seguintes lista as permissões para uma funcionalidade de pré-visualização. Adicione as ações de dados que pretende bloquear à notDataActions na definição do seu papel personalizado, exceto Tracing, que utiliza ações no plano de controlo em notActions.

Serviço de Agente

Adicione estas ações de dados na notDataActions sua definição personalizada de função:

  • Microsoft.CognitiveServices/accounts/AIServices/agents/write
  • Microsoft.CognitiveServices/accounts/AIServices/agents/read
  • Microsoft.CognitiveServices/accounts/AIServices/agents/delete

Para bloquear todas as operações do Serviço de Agente com uma única entrada, use o coringa Microsoft.CognitiveServices/accounts/AIServices/agents/*.

Compreensão do Conteúdo

Adicione estas ações de dados na notDataActions sua definição personalizada de função:

  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/read
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/write
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/delete
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/read
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/write
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/delete
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*

Se a sua equipa rotula documentos no Foundry, também bloqueie as ações de rotulagem de dados. No editor de funções personalizadas do portal do Azure, pesquise por labelingProjects no fornecedor de recurso Microsoft.CognitiveServices para encontrar as operações disponíveis, tais como:

  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/read
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/write
  • Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete

Nota

Verifique as ações exatas de dados labelingProjects no portal Azure, pois as operações disponíveis podem mudar à medida que a funcionalidade evolui.

Afinação

O ajuste fino utiliza vários caminhos de ação de dados sob Microsoft.CognitiveServices/accounts/OpenAI/. Adicione cada caminho que quer bloquear em notDataActions na definição do seu papel personalizado.

  • Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*
  • Microsoft.CognitiveServices/accounts/OpenAI/files/*
  • Microsoft.CognitiveServices/accounts/OpenAI/uploads/*
  • Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*
  • Microsoft.CognitiveServices/accounts/OpenAI/evals/*
  • Microsoft.CognitiveServices/accounts/OpenAI/models/*

Opcionalmente, se a sua equipa executar tarefas RLHF, adicione também:

  • Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*

Importante

Cada caminho listado é um âmbito de ação de dados separado. O wildcard fine-tunes/* aplica-se apenas a operações sob fine-tunes/. Para bloquear totalmente o ajuste fino, inclua todos os caminhos listados.

Rastreamento

Importante

O rastreamento utiliza o Azure Monitor, que é um serviço de plano de controlo. As permissões listadas nesta secção são ações, não ações de dados. Adiciona-os a notActions (não notDataActions) na definição do teu papel personalizado.

Adicione estas ações à notActions na sua definição de função personalizada.

  • Microsoft.Insights/alertRules/read
  • Microsoft.Insights/diagnosticSettings/read
  • Microsoft.Insights/logDefinitions/read
  • Microsoft.Insights/metricdefinitions/read
  • Microsoft.Insights/metrics/read

Bloquear estas ações de leitura impede que os utilizadores vejam o painel de Rastreio no portal Foundry. Os utilizadores que necessitam de acesso ao Rastreamento necessitam de uma função separada que inclua as ações de leitura Microsoft.Insights, como a função de Leitor no recurso Application Insights associado.

Avaliações

Adicione estas ações de dados na notDataActions sua definição personalizada de função:

  • Microsoft.CognitiveServices/accounts/AIServices/evaluations/write
  • Microsoft.CognitiveServices/accounts/AIServices/evaluations/read
  • Microsoft.CognitiveServices/accounts/AIServices/evaluations/delete

Segurança de Conteúdos

Adicione estas ações de dados na notDataActions sua definição personalizada de função:

  • Microsoft.CognitiveServices/accounts/ContentSafety/*

Para bloquear apenas operações específicas de Segurança de Conteúdo em vez de todas as operações, procure por ContentSafety no editor de funções personalizadas do portal Azure e selecione as ações individuais de dados que pretende excluir.

Resolução de problemas com RBAC

Sintoma Causa Resolução
O utilizador ainda pode aceder a uma funcionalidade bloqueada. A atribuição de função pode ainda não ter sido propagada, ou o utilizador tem outro papel que concede a permissão bloqueada. Aguarde alguns minutos pela propagação. Verifique todas as atribuições de funções ao utilizador com az role assignment list --assignee "<user>". Remova quaisquer papéis conflitantes que concedam ações de dados que foram bloqueadas.
A criação de funções personalizadas falha com "ação de dados inválida". O caminho da ação de dados pode estar escrito incorretamente ou o fornecedor do recurso pode não estar registado. Verifique o caminho de ação dos dados no editor de funções personalizadas do Azure Portal. Certifique-se de que o fornecedor de recursos Microsoft.CognitiveServices está registado na sua subscrição.
As permissões de rastreamento não são bloqueadas após adicionar a notDataActions. O traçado utiliza ações do plano de controlo (Microsoft.Insights), não ações de dados. Mude as entradas Microsoft.Insights de notDataActions para notActions na definição do papel.

Conteúdo relacionado

  • Last updated on