Inbyggd princip för modelldistribution i Microsoft Foundry-portalen

Azure Policy innehåller inbyggda principdefinitioner som hjälper dig att styra distributionen av AI-modeller i Microsoft Foundry-portalen. Du kan använda dessa principer för att styra vilka modeller som utvecklarna kan distribuera i Foundry-portalen.

Förutsättningar

Ett Azure konto med en aktiv prenumeration. Om du inte har ett skapar du ett free-Azure konto. Med ditt Azure-konto kan du komma åt Foundry-portalen.
Behörigheter för att skapa och tilldela principer. Om du vill skapa och tilldela principer måste du vara Owner eller Resource Policy Contributor på Azure prenumerations- eller resursgruppsnivå.
Kunskaper om Azure Policy. Mer information finns i Vad är Azure Policy?.

Använd Azure CLI för att hitta den inbyggda principdefinitionen och tilldela den till ett omfång.

Logga in och välj den prenumeration som du vill arbeta i:

az login
az account set --subscription "<subscription-id>"

Hitta principdefinitions-ID:t för den inbyggda definitionen:

az policy definition list \
   --query "[?displayName=='Cognitive Services Deployments should only use approved Registry Models'].{name:name, id:id}" \
   --output table

Förväntat resultat: en rad som innehåller principen id.

Skapa en parameterfil (exempel):
```
{
   "effect": {
      "value": "Deny"
   },
   "allowedPublishers": {
      "value": ["OpenAI"]
   },
   "allowedAssetIds": {
      "value": [
         "azureml://registries/azure-openai/models/gpt-35-turbo/versions/3"
      ]
   }
}
```
Förväntat resultat: en JSON-fil som matchar dina godkända utgivarnamn och modell-ID:er.

Viktigt

Parameternamnen i det här exemplet måste matcha den principdefinition som du tilldelar. Om de skiljer sig åt i er klientorganisation, uppdatera JSON-nycklarna så att de matchar med principdefinitionsparametrarna.

Tilldela policyn inom ett område (exempel: prenumerationsnivå):

az policy assignment create \
   --name "allow-only-approved-registry-models" \
   --display-name "Allow only approved registry models" \
   --scope "/subscriptions/<subscription-id>" \
   --policy "<policy-definition-id>" \
   --params @params.json

Förväntat resultat: kommandot returnerar en JSON-nyttolast som innehåller tilldelningen id.

Referens:

På Azure-portalen väljer du Policy till vänster på sidan. Du kan också söka efter Princip i sökfältet överst på sidan.
Välj Authoring>Definitions till vänster på instrumentpanelen för Azure Policy. Sök sedan efter Cognitive Services Deployments should only use approved Registry Models.
Välj Tilldela för att tilldela policyn:
- Omfång: Välj det omfång där du vill tilldela principen. Omfånget kan vara en hanteringsgrupp, prenumeration eller resursgrupp.
- Principdefinition: Det här avsnittet har redan värdet Cognitive Services Deployments should only use approved Registry Models.
- Tilldelningsnamn: Ange ett unikt namn för tilldelningen.
Du kan behålla standardvärdena för resten av fälten eller anpassa dem efter behov för din organisation.
Välj Nästa längst ned på sidan eller fliken Parametrar överst på sidan.
På fliken Parametraravmarkerar du Visa endast parametrar som behöver indata eller granskning för att se alla fält:
- Effekt: Ställ in på Neka.
  
  Observera
  
  Genom att använda auditalternativet kan du konfigurera policyn för att logga information till din egen efterlevnadsinstrumentpanel.
- Tillåtna modellutgivare: Ange en lista med utgivarnamn inom citattecken, avgränsade med kommatecken. Här är ett exempel som visar var du hittar ett utgivarnamn:
  1. Gå till modellkatalogen i Foundry-portalen.
  2. Välj en modell (till exempel GPT-5).
  3. Du hittar utgivarnamnet på modellkortet enligt följande skärmbild. I det här fallet är det till exempel OpenAI.
- Tillåtna tillgångs-ID: Ange en lista över modelltillgångs-ID:t inom citattecken, avgränsade med kommatecken.
  
  Använd följande steg för att hämta modell-ID-strängar och modellutgivares namn:
  1. Gå till modellkatalogen.
  2. För varje modell som du vill tillåta väljer du modellen för att visa informationen. I information om modellen kopierar du värdet för modell-ID . Till exempel kan värdet se ut som azureml://registries/azure-openai/models/gpt-35-turbo/versions/3 för GPT-3.5-Turbo-modellen.
    
    Viktigt
    
    Modell-ID-värdet måste vara en exakt matchning för modellen. Om modell-ID:t inte är en exakt matchning fungerar inte principen som förväntat.
  3. Välj fliken Granska + skapa och kontrollera att policytilldelningen är korrekt. När du är klar väljer du Skapa för att tilldela policyn.
  4. Meddela dina utvecklare att principen är på plats. De får ett felmeddelande om de försöker distribuera en modell som inte finns med i listan över tillåtna modeller.

Övervaka efterlevnad

Följ dessa steg för att övervaka efterlevnaden av principen:

På Azure-portalen väljer du Policy till vänster på sidan. Du kan också söka efter Princip i sökfältet överst på sidan.
Välj Compliance till vänster på instrumentpanelen i Azure Policy. Varje principtilldelning visas med kompatibilitetsstatus. Om du vill visa mer information väljer du principtilldelningen.

Uppdatera policytilldelningen

Följ dessa steg för att uppdatera en befintlig principtilldelning med nya modeller:

På Azure-portalen väljer du Policy till vänster på sidan. Du kan också söka efter Princip i sökfältet överst på sidan.
Välj Assignments till vänster på instrumentpanelen för Azure Policy och leta reda på den befintliga principtilldelningen. Välj ellipsen (...) bredvid tilldelningen och välj Redigera tilldelning.
På fliken Parametrar uppdaterar du Tillåtna tillgångs-ID:n och Utgivare av tillåtna modeller med de nya godkända modell-ID:n och utgivarnamnen.
På fliken Granska + Spara väljer du Spara för att uppdatera policytilldelningen.

Metodtips

Granulärt omfång: Tilldela policys på rätt nivå för att balansera kontroll och flexibilitet. Du kan till exempel använda på prenumerationsnivå för att styra alla resurser i prenumerationen eller tillämpa på resursgruppsnivå för att styra resurser i en viss grupp.
Namngivning av principer: Använd en konsekvent namngivningskonvention för principtilldelningar för att göra det lättare att identifiera syftet med principen. Inkludera information som syftet och omfånget i namnet.
Taggar: Använd taggar för att kategorisera och hantera dina principer. Du kan till exempel tagga principer efter miljö (dev, test, prod) eller per avdelning.
Dokumentation: Föra register över principtilldelningar och konfigurationer i granskningssyfte. Dokumentera eventuella ändringar som gjorts i principen över tid.
Regelbundna granskningar: Granska principtilldelningar regelbundet för att säkerställa att de överensstämmer med organisationens krav.
Testning: Testa principer i en icke-produktionsmiljö innan du tillämpar dem på produktionsresurser.
Kommunikation: Se till att utvecklarna är medvetna om de principer som finns och förstår konsekvenserna för deras arbete.

Verifiera principens effektivitet

När du har tilldelat principen kontrollerar du att den fungerar som förväntat:

Vänta minst 15 minuter tills policytilldelningen börjar gälla. Nya tilldelningar tillämpas inte direkt.
Försök att distribuera en modell som inte finns med i listan över tillåtna. Om policyn använder neka-effekten misslyckas distributionen med ett policymisslyckande.
Bekräfta att distributionen av en godkänd modell fortfarande lyckas.
Kontrollera instrumentpanelen Compliance i Azure Policy för att kontrollera att principen utvärderar resurserna korrekt. Inkompatibla resurser visas inom en utvärderingscykel för efterlevnad (vanligtvis upp till 24 timmar).

Felsöka misslyckanden med principtilldelning

Symptom	Orsak	Upplösning
Principtilldelningen misslyckas med ett behörighetsfel	Ditt konto saknar rollen Ägare eller Resurspolicydeltagare för det aktuella målområdet.	Tilldela den nödvändiga rollen och försök igen. Se Förutsättningar.
Principen blockerar inte inkompatibla distributioner	Principtilldelningen har inte spridits än, eller så är effekten inställd på Granskning i stället för Neka.	Vänta minst 15 minuter och försök sedan igen. Kontrollera att parametern Effekt är inställd på Neka.
Godkänd modell blockeras oväntat	Modelltillgångs-ID:t eller utgivarens namn i policyparametrarna matchar inte modellen exakt.	Jämför parametervärdena med modellkortet i modellkatalogen. Tillgångs-ID:n och utgivarnamn är skiftlägeskänsliga.
Instrumentpanelen för efterlevnad visar inga data	Kompatibilitetsutvärderingen har inte slutförts än. Azure Policy utvärderar nya tilldelningar inom 24 timmar.	Vänta på nästa utvärderingscykel eller utlös en utvärderingsgenomsökning på begäran.
Fel vid matchning av parameternamn under tilldelningen	JSON-parameternycklarna matchar inte principdefinitionen.	Kör `az policy definition show --name "<definition-id>"` för att hämta de exakta parameternamnen från definitionen. Använd `allowedPublishers` och `allowedAssetIds`.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-30