Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Begränsa förhandsgranskningsfunktioner i Microsoft Foundry för att hålla produktionsmiljöerna fokuserade på allmänt tillgängliga funktioner. Den här artikeln beskriver två metoder:
- Azure taggar döljer förhandsgranskningsytor i portalen Foundry (aktuella och klassiska portaler).
- Anpassade RBAC-roller blockerar specifika förhandsgranskningsåtgärder på API-nivå.
Använd taggar för undertryckning på portalnivå och använd anpassade RBAC-roller när du behöver blockera specifika åtgärder eller behörigheter.
Förutsättningar
- En Foundry-resurs och ett projekt.
- Behörighet att lägga till eller redigera taggar i målomfånget i Azure. Till exempel Medverkare eller Taggmedverkare.
- En Azure prenumeration med behörighet att skapa anpassade roller i omfånget där du vill att rollen ska kunna tilldelas (till exempel rollen Ägare eller Administratör för användaråtkomst).
- Behörigheter för att tilldela roller i omfånget där du tilldelar åtkomst (till exempel administratörsroll för Rollbaserad Åtkomstkontroll eller administratör för användaråtkomst).
- Azure CLI installerat och inloggat, om du skapar roller från kommandoraden. Mer information finns i Installera Azure CLI.
- Åtkomst till Azure-portalen.
Använd taggen
Använd taggen för funktionens förhandsversionsundertryckning inom det omfång som din organisation har tillsyn över.
Viktigt
Använd den exakta taggnyckeln och värdet:
- Tagg nyckel:
AZML_DISABLE_PREVIEW_FEATURE - Taggvärde:
true
Använd taggen i det omfång som matchar dina styrningsbehov:
- Prenumeration för organisationsomfattande styrning.
- Resursgrupp för att täcka alla resurser i en grupp.
- Foundry-resurs för detaljerad kontroll.
Ersätt <resource-id> med det fullständiga resurs-ID:t för din prenumeration, resursgrupp eller Foundry-resurs.
az tag update --resource-id <resource-id> --operation merge --tags AZML_DISABLE_PREVIEW_FEATURE=true
Så här hittar du resurs-ID:t för en Foundry-resurs:
az resource show --name <resource-name> --resource-group <resource-group> --resource-type "Microsoft.CognitiveServices/accounts" --query id --output tsv
Ta bort taggen för att återaktivera förhandsgranskningsfunktioner
Om du vill återställa förhandsgranskningsfunktioner tar du bort taggen AZML_DISABLE_PREVIEW_FEATURE .
az tag update --resource-id <resource-id> --operation delete --tags AZML_DISABLE_PREVIEW_FEATURE=true
När du har ta bort taggen uppdaterar du Foundry-portalen eller loggar ut och in igen. Förhandsversionsfunktionerna visas igen inom några minuter.
Verifiera undertryckning i båda portalupplevelserna
När taggen har sparats kan du tillåta några minuter för spridning och sedan verifiera beteendet i båda funktionerna.
- Öppna Microsoft Foundry.
- Öppna ditt taggade projekt.
- Kontrollera att funktionerna i användargränssnittet endast för förhandsversion är dolda.
- I den klassiska portalen är verktyget Förhandsgranskningsfunktioner i det övre högra hörnet inaktiverat.
- I den nya portalen visas inga förhandsversionsetiketter eftersom funktionerna i förhandsversionen inte längre visas.
- Växla mellan nya och klassiska upplevelser med hjälp av New Foundry och verifiera samma beteende.
Förväntat resultat: Förhandsgranskningsfunktionerna är dolda i både nya och klassiska Foundry-portalen.
Felsöka problem med undertryckning
Använd följande tabell när undertryckning inte fungerar som förväntat.
| Symptom | Orsak | Upplösning |
|---|---|---|
| Förhandsgranskningsfunktioner visas fortfarande när taggen har tillämpats. | Taggnyckeln eller värdet är felaktigt. | Kontrollera att taggnyckeln är exakt AZML_DISABLE_PREVIEW_FEATURE och att värdet är true (skiftlägeskänsligt). Spara taggen igen. |
| Taggen tillämpas men endast vissa omfång ignoreras. | Taggen används i ett smalare omfång än avsett. | Bekräfta att taggen används i det avsedda styrningsomfånget (prenumeration, resursgrupp eller resurs). Använd den i ett bredare omfång om det behövs. |
| Förhandsversionsfunktionerna visas igen efter några minuter. | Webbläsarsessionen använder ett cachelagrat tillstånd. | Logga ut och gå tillbaka, eller rensa webbläsarens cacheminne och uppdatera Foundry-portalen. |
| Det går inte att lägga till eller redigera taggen. | Ditt konto saknar taggbehörigheter i det omfånget. | Kontrollera att du har rollen Deltagare eller Taggdeltagare i målomfånget. |
| Förhandsversionsfunktioner visas fortfarande när du har verifierat omfång, tagg och behörigheter. | Möjlig spridningsfördröjning eller produktfel. | Vänta några minuter på spridning. Om problemet kvarstår skickar du en supportbegäran. |
Blockera förhandsgranskningsfunktioner med anpassade RBAC-roller
Du kan blockera åtkomst till specifika förhandsgranskningsfunktioner genom att skapa en anpassad Azure roll som utesluter motsvarande behörigheter och sedan tilldela rollen till användare.
Eftersom du inte kan ändra inbyggda roller skapar du en anpassad roll som använder notDataActions (eller notActions för kontrollplansfunktioner som Tracing) för att undanta de behörigheter som du vill blockera.
I följande tabell sammanfattas de förhandsgranskningsfunktioner som du kan blockera och vilken typ av behörighet som ska undantas.
| Förhandsgranskningsfunktion | Sökväg till resursprovider | Behörighetstyp | Exkluderingsfält |
|---|---|---|---|
| Agenttjänst | Microsoft.CognitiveServices/accounts/AIServices/agents/* |
Dataåtgärd | notDataActions |
| Innehållstolkning | Microsoft.CognitiveServices/accounts/MultiModalIntelligence/* |
Dataåtgärd | notDataActions |
| Finjusterande |
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/* och relaterade sökvägar |
Dataåtgärd | notDataActions |
| Utvärderingar | Microsoft.CognitiveServices/accounts/AIServices/evaluations/* |
Dataåtgärd | notDataActions |
| Innehållssäkerhet | Microsoft.CognitiveServices/accounts/ContentSafety/* |
Dataåtgärd | notDataActions |
| Spårning | Microsoft.Insights/* |
Kontrollplansåtgärd | notActions |
Skapa en anpassad roll som blockerar en förhandsgranskningsfunktion
Det här avsnittet beskriver hur du skapar en anpassad rolldefinition och tilldelar den till en användare. Exemplet blockerar Agent Service, men du kan ersätta alla dataåtgärder från funktionsavsnitten i den här artikeln.
Steg 1: Definiera rollen JSON
Skapa en JSON-fil med namnet custom-role.json med följande innehåll. Ersätt <subscription-id> med ditt Azure prenumerations-ID och lägg till de dataåtgärder som du vill blockera i notDataActions.
{
"properties": {
"roleName": "Foundry custom role (preview features blocked)",
"description": "Custom role that excludes specific Foundry preview features.",
"assignableScopes": [
"/subscriptions/<subscription-id>"
],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/AIServices/agents/write",
"Microsoft.CognitiveServices/accounts/AIServices/agents/read",
"Microsoft.CognitiveServices/accounts/AIServices/agents/delete"
]
}
]
}
}
Tips
Om du klonar en befintlig roll eller använder jokerteckenbehörigheter i dataActionslägger du till funktionsdataåtgärderna för förhandsversionen så att notDataActions rollen exkluderar dem. För spårning, använd istället notActions, eftersom spårning använder sig av åtgärder i kontrollplanet.
Steg 2: Skapa rollen
az role definition create --role-definition custom-role.json
Steg 3: Tilldela rollen
az role assignment create \
--role "Foundry custom role (preview features blocked)" \
--assignee "<user-email-or-object-id>" \
--scope "/subscriptions/<subscription-id>"
Steg 4: Verifiera rolltilldelningen
Bekräfta att den anpassade rollen exkluderar de förväntade behörigheterna.
Visa en lista över rolltilldelningar för användaren och kontrollera att den anpassade rollen visas:
az role assignment list --assignee "<user-email-or-object-id>" --output table
Visa den anpassade rolldefinitionen för att bekräfta notDataActions innehåller förväntade dataåtgärder:
az role definition list --name "Foundry custom role (preview features blocked)" --output json
Förhandsgranska funktionsdataåtgärder
Vart och ett av följande avsnitt innehåller behörigheter för en förhandsversionsfunktion. Lägg till dataåtgärderna som du vill blockera i din anpassade rolldefinition till notDataActions, förutom Tracing, som använder kontrollplansåtgärder i notActions.
Agenttjänst
Lägg till de här dataåtgärderna i din anpassade rolldefinition: notDataActions
Microsoft.CognitiveServices/accounts/AIServices/agents/writeMicrosoft.CognitiveServices/accounts/AIServices/agents/readMicrosoft.CognitiveServices/accounts/AIServices/agents/delete
Om du vill blockera alla agenttjänståtgärder med en enda post använder du jokertecknet Microsoft.CognitiveServices/accounts/AIServices/agents/*.
Innehållstolkning
Lägg till de här dataåtgärderna i din anpassade rolldefinition: notDataActions
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/analyzers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/classifiers/deleteMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/batchAnalysisJobs/*
Om ditt team etiketterar dokument i Foundry blockerar du även etiketteringsdataåtgärderna. I Azure portalens anpassade rollredigerare söker du efter labelingProjects under Microsoft. CognitiveServices resursprovider för att hitta tillgängliga åtgärder, till exempel:
Microsoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/readMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/writeMicrosoft.CognitiveServices/accounts/MultiModalIntelligence/labelingProjects/delete
Observera
Verifiera de exakta labelingProjects data actions i Azure-portalen, eftersom de tillgängliga åtgärderna kommer eventuellt att ändras när funktionen utvecklas.
Finjusterande
Finjustering använder flera sökvägar för dataåtgärder under Microsoft.CognitiveServices/accounts/OpenAI/. Lägg till varje sökväg som du vill blockera i notDataActions i din anpassade rolldefinition.
Microsoft.CognitiveServices/accounts/OpenAI/fine-tunes/*Microsoft.CognitiveServices/accounts/OpenAI/files/*Microsoft.CognitiveServices/accounts/OpenAI/uploads/*Microsoft.CognitiveServices/accounts/OpenAI/stored-completions/*Microsoft.CognitiveServices/accounts/OpenAI/evals/*Microsoft.CognitiveServices/accounts/OpenAI/models/*
Om ditt team kör RLHF-jobb kan du välja att också lägga till:
Microsoft.CognitiveServices/accounts/OpenAI/1p-jobs/*
Viktigt
Varje sökväg i listan är ett separat dataåtgärdsomfång. Jokertecknet fine-tunes/* matchar endast åtgärder under fine-tunes/. För att helt blockera finjustering inkluderar du alla angivna sökvägar.
Spårning
Viktigt
Spårning använder Azure Monitor, vilket är en kontrollplanstjänst. Behörigheterna som anges i det här avsnittet är åtgärder, inte dataåtgärder. Lägg till dem i notActions (inte i notDataActions) i din anpassade rolldefinition.
Lägg till de här åtgärderna notActions i din anpassade rolldefinition:
Microsoft.Insights/alertRules/readMicrosoft.Insights/diagnosticSettings/readMicrosoft.Insights/logDefinitions/readMicrosoft.Insights/metricdefinitions/readMicrosoft.Insights/metrics/read
Om du blockerar dessa läsåtgärder hindras användarna från att visa spårningsfönstret i Foundry-portalen. Användare som behöver spårningsåtkomst kräver en separat roll som innehåller läsåtgärderna Microsoft.Insights, till exempel en läsarroll på den anslutna Application Insights-resursen.
Recensioner
Lägg till de här dataåtgärderna i din anpassade rolldefinition: notDataActions
Microsoft.CognitiveServices/accounts/AIServices/evaluations/writeMicrosoft.CognitiveServices/accounts/AIServices/evaluations/readMicrosoft.CognitiveServices/accounts/AIServices/evaluations/delete
Innehållssäkerhet
Lägg till de här dataåtgärderna i din anpassade rolldefinition: notDataActions
Microsoft.CognitiveServices/accounts/ContentSafety/*
Om du bara vill blockera specifika innehållssäkerhetsåtgärder i stället för alla åtgärder söker du efter ContentSafety i den anpassade rollredigeraren för Azure portalen och väljer de enskilda dataåtgärder som du vill exkludera.
Felsöka RBAC-problem
| Symptom | Orsak | Upplösning |
|---|---|---|
| Användaren kan fortfarande komma åt en blockerad funktion. | Rolltilldelningen kanske inte har spridits ännu, eller så har användaren en annan roll som ger den blockerade behörigheten. | Vänta några minuter på spridning. Kontrollera alla rolltilldelningar för användaren med az role assignment list --assignee "<user>". Ta bort eventuella motstridiga roller som beviljar blockerade dataåtgärder. |
| Det går inte att skapa anpassade roller med "ogiltig dataåtgärd". | Dataåtgärdssökvägen kan vara felstavad eller så är resursprovidern kanske inte registrerad. | Verifiera dataåtgärdssökvägen i den anpassade rollredigeraren för Azure portalen. Kontrollera att resursprovidern Microsoft.CognitiveServices är registrerad i din prenumeration. |
Spårningsbehörigheter blockeras inte efter att ha lagts till i notDataActions. |
Spårning använder kontrollplansåtgärder (Microsoft.Insights), inte dataåtgärder. |
Flytta Microsoft.Insights-posterna från notDataActions till notActions i rolldefinitionen. |