Attività con privilegi elevati in Microsoft Foundry

Gli sviluppatori che dispongono del ruolo Utente Foundry nella risorsa Foundry o nell'ambito del progetto possono compilare agenti, eseguire inferenze e usare la maggior parte delle funzionalità foundry. Tuttavia, molte attività amministrative richiedono ruoli con privilegi elevati, ad esempio Owner, Contributor, Foundry Account Owner, o altri ruoli specializzati.

Questo articolo illustra quali ruoli elevati sono necessari per ogni area di amministrazione di Foundry, perché questi ruoli sono necessari e collegamenti alle procedure dettagliate. Usarlo come riferimento quando gli sviluppatori riscontrano errori di autorizzazione o quando si pianificano le assegnazioni di ruolo per un nuovo ambiente.

Note

Le funzionalità di anteprima, le opzioni ospitate e le risorse di backup specifiche possono richiedere ruoli aggiuntivi o autorizzazioni del piano dati. Controllare gli articoli collegati per verificare i requisiti esatti nello scenario in uso.

Per informazioni generali sulle definizioni dei ruoli Foundry, vedere Controllo degli accessi in base al ruolo per Microsoft Foundry.

Concetti chiave

  • Piano di controllo : operazioni che gestiscono Azure risorse (creare, eliminare, configurare). Regolato da ruoli di Azure RBAC come Owner e Contributor.
  • Piano dati : operazioni che usano le funzionalità di runtime di una risorsa (blob di lettura, indici di query). Disciplinato da ruoli dati come Collaboratore ai dati dei BLOB di archiviazione.
  • Identità gestita: identità Microsoft Entra gestita automaticamente che esegue l'autenticazione alle risorse di backup senza credenziali archiviate. In Foundry l'identità gestita del progetto è l'identità usata dal progetto in fase di esecuzione. Alcune configurazioni si basano anche sull'identità condivisa a livello di account per l'accesso alle risorse. Usare il nome di identità corrispondente allo scenario invece di considerare i due termini intercambiabili.
  • Risorsa Foundry — La risorsa di Azure (di tipo Microsoft.CognitiveServices/accounts) che ospita i progetti Foundry.
  • Ambito : livello a cui si applica un'assegnazione di ruolo: sottoscrizione, gruppo di risorse, risorsa o progetto. I ruoli assegnati a un ambito superiore si applicano anche ai livelli inferiori.

Panoramica della configurazione dell'ambiente

Quando si effettua il provisioning di un nuovo ambiente Foundry, le attività seguono questo ordine generale:

  1. Creare una risorsa Foundry : obbligatoria prima di tutte le altre attività.
  2. Creare uno o più progetti : agenti, modelli e connessioni dinamiche all'interno dei progetti.
  3. Assegnare ruoli agli sviluppatori : gli sviluppatori necessitano dell'utente Foundry per l'accesso generale. La distribuzione del modello richiede un ruolo separato.
  4. Distribuire modelli : richiede il proprietario dell'account Foundry.
  5. Configurare l'infrastruttura dell'agente (se necessario).
  6. Configurare la rete (se necessario).
  7. Configurare misure di salvaguardia e criteri.
  8. Abilitare il monitoraggio.

Suggerimento

Piccolo team (1-5 sviluppatori)? Assegna Owner a te stesso a livello di gruppo di risorse e Foundry User a ogni sviluppatore a livello di risorsa Foundry. Questa assegnazione copre la maggior parte delle attività amministrative. Per i team di grandi dimensioni, usare i gruppi Microsoft Entra e definire l’ambito dei ruoli per progetto.

Le sezioni rimanenti illustrano i requisiti dei ruoli per ogni area. Per un riepilogo di tutti i ruoli con privilegi elevati, vedere Riferimento rapido: riepilogo dei ruoli.

Creare e configurare le risorse foundry

La creazione di risorse e progetti Foundry richiede autorizzazioni del piano di controllo che gli sviluppatori in genere non hanno. Queste operazioni modificano gli oggetti di Azure Resource Manager, quindi richiedono ruoli come Contributor o Foundry Account Owner a livello di sottoscrizione o di gruppo di risorse.

Attività Ruolo minimo Scope Dettagli
Creare una risorsa Foundry Collaboratore, Proprietario dell'account FoundryoProprietario di Foundry Sottoscrizione o gruppo di risorse Creare la prima risorsa
Creare un progetto Foundry Collaboratore, Proprietario dell'account FoundryoProprietario di Foundry Risorsa della fonderia Creare e gestire progetti
Eseguire l'aggiornamento dal servizio OpenAI di Azure ProprietariooCollaboratore Risorsa OpenAI di Azure Aggiornamento da Servizio Azure OpenAI
Ripristinare o eliminare gli account eliminati Contributor Abbonamento Ripristinare o eliminare le risorse eliminate
Creare risorse usando Bicep CollaboratoreoProprietario Gruppo di risorse Creare risorse utilizzando il modello Bicep

Per istruzioni dettagliate sull'uso di interfaccia della riga di comando di Azure, Bicep o del portale, vedere Creare la prima risorsa e Creare e gestire progetti.

Assegnare ruoli ai membri del team

Per assegnare qualsiasi ruolo a un utente, è necessario il ruolo Proprietario o Amministratore accesso utenti nell'ambito di destinazione. I ruoli Foundry Account Owner e Foundry Project Manager possono assegnare in modo condizionale solo il ruolo Utente Foundry.

Note

Un ruolo assegnato nell'ambito del gruppo di risorse si applica a tutte le risorse e i progetti Foundry all'interno di tale gruppo. Assegna nell'ambito più restrittivo che soddisfa le tue esigenze.

Attività Ruolo minimo Scope Dettagli
Assegnare Foundry User agli sviluppatori ProprietariooAmministratore accesso utenti Risorsa o progetto Foundry Controllo degli accessi in base al ruolo
Assegna Foundry User (condizionale) Foundry Account OwneroFoundry Project Manager Risorsa o progetto di Foundry Controllo degli accessi in base al ruolo
Creare ruoli RBAC personalizzati Proprietario Sottoscrizione o gruppo di risorse Controllo degli accessi in base al ruolo
Assegnare ruoli personalizzati Amministratore dell'accesso utentioAmministratore del controllo degli accessi basato sui ruoli Ambito di destinazione Controllo degli accessi in base al ruolo
Gestire i ruoli con i gruppi di Microsoft Entra ProprietariooAmministratore accesso utenti Ambito di destinazione Controllo degli accessi in base al ruolo

Suggerimento

Usare Microsoft Entra gruppi per semplificare le assegnazioni di ruolo. Creare un gruppo di sicurezza, assegnarlo al ruolo appropriato e aggiungere gli sviluppatori come membri. Per una procedura dettagliata, vedere Controllo degli accessi in base al ruolo .

Considerazioni sull'ambito

  • Assegna il ruolo Utente Foundry nell'ambito della risorsa Foundry per concedere l'accesso a tutti i progetti all'interno della risorsa.
  • Assegna nell'ambito del progetto per limitare l'accesso a un singolo progetto.
  • Per le organizzazioni che usano Microsoft Entra Privileged Identity Management (PIM), è consigliabile rendere idonee le assegnazioni di ruolo elevate anziché permanenti. Le assegnazioni idonee richiedono l'attivazione just-in-time, che riduce l'esposizione ai privilegi permanenti.

Per le procedure dettagliate di assegnazione dei ruoli, vedere Controllo degli accessi in base al ruolo per Microsoft Foundry e Assegnare ruoli Azure.

Note

La propagazione delle assegnazioni di ruolo può richiedere fino a cinque minuti. Se uno sviluppatore segnala l'accesso negato immediatamente dopo l'assegnazione, chiedere loro di attendere e riprovare. Vedere Risolvere gli errori di autorizzazione comuni per le cause comuni.

Configurare l'infrastruttura dell'agente

La configurazione dell'agente è l'area che richiede il maggior numero di autorizzazioni in Foundry. I ruoli necessari dipendono dall'opzione di configurazione scelta.

Opzione di installazione Scegliere quando Prerequisiti Compromesso
Standard È necessario avere il controllo completo sulla residenza dei dati e sul provisioning delle risorse Provisioning eseguito per le risorse Cosmos DB, Ricerca AI e di archiviazione nel gruppo di risorse Gestisci il provisioning e il controllo degli accessi basato sui ruoli (RBAC) per Cosmos DB, Search e Storage
Ospitato Si vuole il percorso più veloce con configurazione minima Nessuno : Foundry effettua automaticamente il provisioning delle risorse di backup Foundry gestisce le risorse di backup; minore controllo di rete
Risorse BYO Sono già disponibili Cosmos DB, Ricerca o Archiviazione con requisiti di conformità specifici Risorse di Cosmos DB, ricerca di intelligenza artificiale o archiviazione esistenti con accesso alla rete configurato Colleghi le risorse esistenti e ne gestisci il controllo degli accessi basato sui ruoli (RBAC)

Esaminare la sottosezione corrispondente all'opzione di configurazione. Ignorare gli altri. Se i requisiti cambiano, è possibile tornare a loro in un secondo momento.

Configurazione dell'agente standard

La configurazione standard dell'agente richiede di eseguire il provisioning e la gestione delle proprie risorse di Azure Cosmos DB, Azure AI Search e Archiviazione di Azure. Questo approccio offre il controllo completo sulla residenza dei dati, ma richiede l'assegnazione di ruoli del piano dati all'identità gestita del progetto in ogni risorsa di backup.

Attività Ruolo minimo Scope Dettagli
Assegnare ruoli tra servizi (Cosmos DB, Ricerca, Archiviazione) Proprietariooamministratore di Controllo di accesso basato su ruoli Gruppo di risorse Configurazione dell'agente standard
Effettuare il provisioning delle risorse dell'agente Proprietario dell'account FoundryoProprietario Abbonamento Configurare le risorse dell'agente

Assegnare i seguenti ruoli del piano dati all'identità gestita del progetto Foundry nelle risorse sottostanti:

Risorsa Ruolo
Azure Cosmos DB, un servizio di database distribuito globale di Microsoft Collaboratore dati predefinito di Cosmos DB
Ricerca di intelligenza artificiale di Azure Collaboratore dati indice di ricerca, Collaboratore del servizio di ricerca
Archiviazione di Azure (azureml-blobstore) Collaboratore ai dati di Storage Blob
Archiviazione di Azure (agents-blobstore) proprietario dei dati dei BLOB di archiviazione

Note

Collaboratore dati predefinito di Cosmos DB è un ruolo del piano dati di Cosmos DB. Assegnalo tramite interfaccia della riga di comando di Azure (az cosmosdb sql role assignment create) o Bicep, non tramite la scheda standard Access control (IAM). Per informazioni dettagliate, vedere Configurare il controllo degli accessi in base al ruolo per Azure Cosmos DB.

Per la procedura di provisioning completa e i template Bicep, vedere Configurazione dell'agente standard.

Configurazione dell'agente ospitato

La configurazione dell'agente ospitato è ancora il modo più rapido per predisporre l'infrastruttura di runtime degli agenti, ma richiede prerequisiti espliciti in termini di risorse e RBAC. Oltre all'account e al progetto Foundry, pianificare Registro Azure Container (ACR), Application Insights e un'area di lavoro Log Analytics collegata.

Area attività Ruolo minimo Scope Note
Creare risorse di ACR, Application Insights e Log Analytics CollaboratoreoProprietario Gruppo di risorse Obbligatorio quando il flusso di distribuzione ospitato crea queste risorse.
Crea agenti ospitati e versioni degli agenti (piano dati) Utente Foundry, Responsabile di progetto Foundry, oProprietario Foundry Progetto Fonderia Proprietario/I collaboratori non sono sufficienti per le operazioni di creazione o aggiornamento dell'agente del piano dati.
Creare connessioni di progetto Foundry Project Manager, Proprietario dell'account Foundry, Proprietario Foundry, Collaboratore, oProprietario Progetto Fonderia Necessario per le connessioni ACR e di osservabilità.
Assegnare il ruolo di pull/lettura di ACR all'identità gestita del progetto Proprietariooamministratore di Controllo di accesso basato su ruoli Risorsa ACR Assegna Container Registry Repository Reader (o AcrPull).
Caricare immagini in ACR per la distribuzione Autore del repository di Container Registry (o AcrPush) Risorsa di Azure Container Registry Obbligatorio per l'utente o l'entità che esegue il push delle immagini dell'agente.
Leggere i dati di telemetria dell'agente per le valutazioni lettore dati Log Analytics Area di lavoro di Log Analytics Necessaria per l'identità gestita del progetto per le valutazioni che leggono i dati dell'area di lavoro.

Note

Foundry Project Manager e Foundry Account Owner possono assegnare solo il ruolo Foundry User nel proprio ambito limitato di assegnazione dei ruoli. Usa Proprietario o Amministratore del controllo degli accessi in base al ruolo quando hai bisogno di assegnazioni di ruolo su risorse esterne come ACR o Log Analytics.

Per istruzioni dettagliate sulle autorizzazioni dell'agente ospitato, vedere Riferimento alle autorizzazioni dell'agente ospitato.

Per istruzioni dettagliate, vedere Distribuire un agente ospitato.

Porta le tue risorse

Usare questa opzione quando sono già presenti Azure Cosmos DB, ricerca di intelligenza artificiale o risorse di archiviazione con requisiti di conformità specifici. Alleghi le risorse esistenti a un progetto Foundry e assegni i ruoli del piano dati necessari all'identità gestita del progetto.

Attività Ruolo minimo Scope Dettagli
Aggiungi le proprie risorse Proprietario dell'account FoundryoProprietario Abbonamento Usare le proprie risorse Azure
Assegnare ruoli all'identità gestita ProprietariooAmministratore accesso utenti Risorsa di destinazione Usare le proprie risorse Azure

Per istruzioni dettagliate, vedere Usare le proprie risorse Azure.

Strumenti dell'agente con requisiti elevati

Diversi strumenti dell'agente richiedono il ruolo Contributor o superiore per effettuare il provisioning o configurare le risorse sottostanti.

Strumenti dell'infrastruttura

Tool Ruolo minimo Scope Dettagli
Ancoraggio con Bing CollaboratoreoProprietario Sottoscrizione o gruppo di risorse Strumenti Bing
Automazione del browser (anteprima) CollaboratoreoProprietario Gruppo di risorse Automazione del browser
Ricerca di intelligenza artificiale Collaboratore dati indice di ricerca, Collaboratore del servizio di ricerca Risorsa ricerca intelligenza artificiale Strumento di ricerca di intelligenza artificiale
Ricerca di file Collaboratore ai dati di Storage Blob Account di archiviazione del progetto Ricerca di file
Interprete di codice personalizzato (anteprima) Collaboratore ambienti gestiti di app contenitore + Foundry Owner Sottoscrizione o gruppo di risorse Interprete di codice personalizzato

Strumenti di integrazione

Tool Ruolo minimo Scope Dettagli
Strumento OpenAPI CollaboratoreoProprietario Progetto Fonderia Strumento OpenAPI
Strumento MCP CollaboratoreoProprietario Progetto Fonderia Strumento per Model Context Protocol
Da agente a agente (anteprima) CollaboratoreoProprietario Risorsa della fonderia Da agente a agente
Riconoscimento vocale di Azure Collaboratore ai dati di Storage Blob Account di archiviazione strumento voce Azure

Agenti di pubblicazione

La pubblicazione promuove un agente da una risorsa di sviluppo all'interno di un progetto Foundry a una risorsa gestita di tipo Applicazione agente con un endpoint stabile. Per pubblicare un agente, è necessario il ruolo Foundry Project Manager nell'ambito della risorsa Foundry.

Attività Ruolo minimo Scope Dettagli
Pubblica un agente come Applicazione agente Foundry Project Manager Risorsa della fonderia Pubblicare e condividere agenti
Richiama un'applicazione Agent pubblicata Utente di Foundry Risorsa dell'applicazione Agent Richiamare le applicazioni agente
Pubblicare un agente in Microsoft 365 e Teams Foundry Project Manager Progetto Fonderia Pubblicare agenti in Microsoft 365 e Teams
Riassegnare RBAC all'identità pubblicata dell'agente ProprietariooAmministratore accesso utenti Risorsa di destinazione Concetti relativi all'identità dell'agente

Importante

Quando si pubblica un agente, all'agente viene assegnata una nuova identità Entra distinta. Le autorizzazioni assegnate all'identità condivisa del progetto non vengono trasferite. Riassegnare i ruoli RBAC per tutte le risorse downstream a cui l'agente accede (archiviazione, ricerca, Key Vault) alla nuova identità dell'agente. Per informazioni dettagliate, vedere Concetti relativi all'identità dell'agente.

Distribuire e gestire modelli

Per distribuire un modello, è necessario il ruolo Proprietario dell'account Foundry sulla risorsa Foundry. Alcuni scenari, ad esempio i modelli di marketplace o il throughput con provisioning, richiedono ruoli più elevati. Nella tabella seguente sono elencate tutte le attività correlate al modello e i relativi requisiti di ruolo.

Attività Ruolo minimo Scope Dettagli
Distribuire un modello dal catalogo Proprietario dell'account Foundry Risorsa della fonderia Creare distribuzioni di modelli
Implementare modelli Foundry Proprietario dell'account Foundry Risorsa della fonderia Distribuire modelli Foundry
Implementare la capacità effettiva con provisioning Proprietario dell'account Foundry Risorsa della fonderia Larghezza di banda allocata
Distribuire modelli del Marketplace Contributor Abbonamento Distribuire modelli Foundry
Distribuire modelli Fireworks Proprietario di Foundry (progetto) + Collaboratore dell'abbonamento Sottoscrizione e progetto Abilitare i modelli di Fuochi d'artificio
Ottimizzare un modello Foundry Owner (oFoundry User + Foundry Account Owner) Risorsa della fonderia Controllo degli accessi in base al ruolo
Distribuire un modello ottimizzato tra tenant Foundry Project Manager Risorse di origine e di destinazione Ottimizzazione della distribuzione
Visualizzare le quote Proprietario dell'account Foundry Abbonamento Gestire le quote
Richiedere aumenti di quota Contributor Abbonamento Gestire le quote
Modificare le quote Proprietario dell'account Foundry Risorsa e abbonamento di Foundry Gestire le quote
Creare elenchi di blocchi di contenuto Proprietario dell'account Foundry Risorsa OpenAI di Azure Usare elenchi di blocchi

Le distribuzioni di modelli del Marketplace richiedono l'accesso a livello di sottoscrizione perché creano contratti di fatturazione. Il fine-tuning richiede Foundry Owner perché crea processi di addestramento che consumano risorse di calcolo e di archiviazione. Prima di distribuire un modello, verificare che la sottoscrizione disponga di una quota sufficiente per il modello di destinazione e l'area. Vedere Gestire le quote.

Per istruzioni dettagliate sulla distribuzione, vedere Creare distribuzioni di modelli.

Configurare la sicurezza e la rete

Le configurazioni di rete e crittografia richiedono ruoli elevati in più risorse. Queste configurazioni riguardano la risorsa Foundry, le reti virtuali, le zone DNS e Key Vault, quindi in genere sono necessari più ruoli.

Gli endpoint privati

Gli endpoint privati limitano l'accesso alla risorsa Foundry al traffico da reti virtuali specifiche. La configurazione di un endpoint privato richiede ruoli in tre risorse diverse.

Attività Ruolo minimo Scope Dettagli
Creare un endpoint privato CollaboratoreoProprietario Risorsa della fonderia Configurare il collegamento privato
Configurare la rete virtuale Collaboratore di rete Rete virtuale Configurare il collegamento privato
Configurare la zona DNS privata Collaboratore zona DNS privata DNS zone Configurare il collegamento privato

Per istruzioni dettagliate, vedere Configurare un collegamento privato.

Reti virtuali gestite

Una rete virtuale gestita isola le risorse Foundry dietro una rete gestita da Foundry. Questa configurazione semplifica la configurazione di rete rispetto all'uso della propria rete virtuale.

Attività Ruolo minimo Scope Dettagli
Configurare la rete virtuale gestita ProprietariooCollaboratore Risorsa della fonderia Rete virtuale gestita
Assegnare RBAC alle risorse nella VNet gestita Proprietariooamministratore di Controllo di accesso basato su ruoli Risorse mirate Rete virtuale gestita

Perimetro di sicurezza della rete

Un perimetro di sicurezza di rete offre un modo centralizzato per gestire l'accesso di rete tra più risorse Azure. Aggiungere la risorsa Foundry a un perimetro esistente per applicare regole di rete coerenti.

Attività Ruolo minimo Scope Dettagli
Aggiungere Foundry al perimetro di sicurezza di rete (anteprima) Proprietario, CollaboratoreoCollaboratore rete Risorsa della fonderia Perimetro di sicurezza della rete

Chiavi gestite dal cliente

Usando chiavi gestite dal cliente (CMK), è possibile crittografare i dati foundry con le chiavi controllate in Azure Key Vault. La chiave gestita dal cliente (CMK) richiede ruoli sia in Key Vault sia nella risorsa Foundry, perché prima si concede all'identità gestita l'accesso alla chiave e poi si configura la risorsa per utilizzarla.

Attività Ruolo minimo Scope Dettagli
Assegnare RBAC su Key Vault ProprietariooAmministratore accesso utenti Key Vault Configurare le chiavi gestite dal cliente
Assegna Key Vault Crypto User all'identità gestita ProprietariooAmministratore accesso utenti Key Vault Configurare le chiavi gestite dal cliente
Configurare la crittografia nella risorsa Foundry CollaboratoreoProprietario Risorsa della fonderia Configurare le chiavi gestite dal cliente

Per la procedura completa, vedere Configurare le chiavi gestite dal cliente.

Connessioni di Key Vault

Una connessione Key Vault consente ai progetti Foundry di accedere a segreti, certificati e chiavi archiviati in Azure Key Vault senza incorporare le credenziali nel codice. Creare una connessione quando gli agenti o i modelli distribuiti devono recuperare chiavi API o certificati in fase di esecuzione.

Attività Ruolo minimo Scope Dettagli
Creare una connessione a Key Vault Key Vault Collaboratore + Key Vault Amministratore Key Vault Archiviare i segreti nel Azure Key Vault

Configurare misure di controllo e criteri

Configurare protezioni e assegnazioni di Criteri di Azure per limitare quali modelli, strumenti e configurazioni sono disponibili nell'ambiente Foundry. Per completare queste attività sono necessari ruoli a livello di amministratore perché applicano limiti di governance a tutti gli sviluppatori in una sottoscrizione o in un gruppo di risorse.

Attività Ruolo minimo Scope Dettagli
Creare misure di salvaguardia Proprietario dell'account Foundry o superiore Risorsa della fonderia Crea barriere di protezione
Creare criteri di protezione ProprietariooCollaboratore dei criteri delle risorse Sottoscrizione o gruppo di risorse Crea criteri di protezione
Creare criteri di distribuzione del modello ProprietariooCollaboratore criteri delle risorse Sottoscrizione o gruppo di risorse Criteri di distribuzione del modello
Creare definizioni di criteri personalizzate Collaboratore criteri delle risorse (privilegio minimo) oProprietario Ambito di destinazione Creare definizioni di criteri personalizzate
Configurare protezioni di terze parti Proprietario (sottoscrizione) + amministratore Key Vault Sottoscrizione e Key Vault Integrazioni di terze parti
Applicare i limiti dei token tramite il gateway di intelligenza artificiale Collaboratore oproprietariodel servizio Gestione API Risorsa di Gestione API Applicare i limiti dei token
Gestire gli strumenti dell'agente tramite il gateway di intelligenza artificiale Collaboratore oproprietariodel servizio Gestione API istanza di APIM Gestisci gli strumenti dell'agente

Per una procedura dettagliata sulla creazione del primo guardrail, vedere Creare protezioni. Per i criteri di distribuzione dei modelli, vedere Criteri di distribuzione del modello.

Gestire la conformità e il monitoraggio

Le attività di conformità e monitoraggio comprendono i ruoli di Azure RBAC e i ruoli della directory Microsoft Entra. Comprendere la distinzione è importante: assegnare i ruoli della directory nel Interfaccia di amministrazione di Microsoft Entra, non nel pannello Controllo di accesso (IAM) del portale di Azure.

Attività Ruolo minimo Scope Dettagli
Abilitare Microsoft Defender per il cloud Amministratore della sicurezzaoproprietario Abbonamento Gestire la conformità e la sicurezza
Configurare Microsoft Purview Proprietario dell'account Foundry Risorsa della fonderia Gestire la conformità e la sicurezza
Configurare le impostazioni di diagnostica Collaboratore al monitoraggio Risorsa della fonderia Monitorare i modelli
Configurare il tracciamento di Application Insights Collaboratore o superiore Una risorsa di Application Insights Framework dell'agente di tracciamento
Gestire l'infrastruttura dell'agente (Entra admin) Amministratore globaleoMicrosoft Entra amministratore di intelligenza artificiale Microsoft Entra tenant Gestisci l'infrastruttura dell'agente come amministratore di Entra
Configurare i criteri di accesso condizionale Amministratore accesso condizionale Microsoft Entra ID Procedure consigliate per la sicurezza MCP

Importante

L'elevazione di Amministratore globale assegna il ruolo di Amministratore accessi utente nell'ambito radice (/) di tutte le sottoscrizioni. Rimuovere questa elevazione dopo aver completato le attività necessarie. Per i dettagli, vedere Gestire l'infrastruttura dell'agente in qualità di amministratore di Entra.

Per la configurazione passo passo del monitoraggio, consulta Monitoraggio dei modelli e Framework dell'agente di tracciamento.

Configurare l'accesso allo spazio di archiviazione e al piano dati

Gli agenti, le valutazioni e diversi strumenti di Foundry richiedono ruoli del piano dati su risorse di archiviazione e di ricerca. Assegnare questi ruoli all'identità gestita del progetto Foundry, non agli utenti umani, in modo che il servizio possa accedere alle risorse di backup in fase di esecuzione.

La tabella seguente include una colonna Assegnata a perché questi ruoli si applicano alle identità gestite anziché agli utenti umani.

Attività Ruolo minimo da assegnare Assegnato a Risorsa di destinazione Dettagli
Archiviazione BYO per Foundry Collaboratore ai dati di Storage Blob identità gestita del progetto Account di archiviazione Connettersi alla propria risorsa di archiviazione
Archiviazione BYO per riconoscimento vocale/lingua Collaboratore ai dati di Storage Blob Identità gestita Foundry Account di archiviazione Connetti il tuo archivio per Voce/Lingua
Eseguire valutazioni con l'archiviazione di Entra ID proprietario dei dati dei BLOB di archiviazione Risorsa utente e progetto Account di archiviazione Aree di valutazione e limiti
Indicizzazione di Foundry IQ (anteprima) Contributore ai dati dell'indice di ricerca identità gestita del progetto Risorsa ricerca intelligenza artificiale Connessione Foundry IQ

Note

L'assegnazione di ruoli del piano dati come Collaboratore ai dati dei BLOB di archiviazione a un'identità gestita richiede Owner o Amministratore accessi utente sulla risorsa di destinazione.

Configurare il ripristino di emergenza

Il ripristino di emergenza per Foundry copre due scenari: failover della risorsa Foundry stessa (disponibilità elevata) e failover delle risorse di backup dell'agente. Il DR del servizio Agent richiede particolarmente numerosi ruoli, perché richiede l'accesso a Cosmos DB, AI Search e Storage, oltre alla risorsa Foundry.

Attività Ruolo minimo Scope Dettagli
Configurare la disponibilità elevata ProprietariooCollaboratore + Amministratore dell'accesso utente Gruppo di risorse Disponibilità elevata e resilienza
Servizio Agent DR (operatore) ProprietariooCollaboratore + Collaboratore account DocumentDB + Collaboratore servizio di ricerca + Collaboratore dati BLOB di archiviazione Gruppo di risorse e risorse di backup Ripristino di emergenza del servizio dell'agente
Ripristino di emergenza del servizio agente (piattaforma) CollaboratoreoProprietario + Collaboratore dell'account di archiviazione Risorse e archiviazione di Foundry Ripristino di emergenza dall'interruzione della piattaforma

Per informazioni dettagliate sulle procedure di disaster recovery, vedi Alta disponibilità e resilienza e disaster recovery del servizio Agent.

Configurare connessioni e integrazioni

Foundry si integra con Gestione API, server MCP e servizi esterni. La maggior parte delle attività di integrazione richiede almeno Collaboratore perché crea o modifica le risorse Azure. Il collegamento di Foundry a un gateway di intelligenza artificiale richiede il ruolo Proprietario dell'account Foundry perché modifica la configurazione dell'account.

Attività Ruolo minimo Scope Dettagli
Aggiungere connessioni a Foundry Utente di Foundry, Proprietario di Foundry, oCollaboratore Progetto Fonderia Creare una connessione
Abilitare Gateway AI (APIM) CollaboratoreoProprietario Gruppo di risorse o sottoscrizione Abilitare il gateway di Gestione API di intelligenza artificiale
Collegare Foundry al gateway di intelligenza artificiale Proprietario dell'account FoundryoProprietario di Foundry Risorsa della fonderia Abilitare il gateway di Gestione API di intelligenza artificiale
Configurare l'accesso al server MCP Collaboratore o superiore Progetto Fonderia Introduzione a MCP
Creare un server MCP personalizzato Contributor Gruppo di risorse Creare un server MCP personalizzato
Gestire l'accesso MCP (assegnazione di ruolo) ProprietariooAmministratore accesso utenti Risorsa di destinazione Procedure consigliate per la sicurezza MCP
Configurare Claude Code CollaboratoreoProprietario Gruppo di risorse Configurare Claude Code
Gestire i tag nelle risorse CollaboratoreoCollaboratore tag Ambito di destinazione Disabilitare le funzionalità di anteprima

Riferimento rapido: riepilogo dei ruoli

La tabella seguente riepiloga i ruoli con privilegi elevati principali e quando gli amministratori ne hanno bisogno. Usarlo per identificare rapidamente il ruolo da assegnare per una determinata categoria di attività.

Ruolo Quando è necessario
Proprietario Assegnazioni di ruolo, ruoli RBAC personalizzati, creazione di criteri, operazioni a livello di sottoscrizione
Contributor Provisioning delle risorse, distribuzione del modello del marketplace, operazioni di scrittura MCP, endpoint privati
Proprietario dell'account Foundry Creazione di risorse e progetti Foundry, distribuzione dei modelli, gestione delle quote, liste di blocco dei contenuti, protezioni, integrazione di Purview, assegnazione condizionale dei ruoli
Foundry Project Manager Pubblicazione di agenti, assegnazione condizionale del ruolo Foundry User
Proprietario della fonderia Messa a punto, distribuzione di agenti ospitati, operazioni combinate del piano dati e del piano di controllo
Amministratore accessi utente Assegnare ruoli quando non si dispone del ruolo "Owner"; RBAC di Key Vault per CMK; accesso al registro contenitori
Collaboratore/Proprietario dei dati dei BLOB di archiviazione archiviazione di supporto per agenti, valutazioni, archiviazione BYO, strumento di ricerca dei file
Contributore ai dati dell'indice di ricerca Strumenti per agenti basati su AI Search, indicizzazione di Foundry IQ
Amministratore di Key Vault Connessioni di Key Vault, misure di protezione di terze parti
Collaboratore alla politica delle risorse Assegnazioni di Criteri di Azure per la distribuzione del modello e i criteri personalizzati
Amministratore globale Gestione dell'agente a livello di tenant, elevazione dei privilegi di accesso
Amministrazione di sicurezza Microsoft Defender per il cloud
Collaboratore al monitoraggio Impostazioni di diagnostica
Collaboratore di rete Configurazione della rete virtuale, perimetro di sicurezza di rete

Risolvere gli errori comuni relativi alle autorizzazioni

Quando gli sviluppatori riscontrano errori di autorizzazione, usare le tabelle delle attività in questo articolo per identificare il ruolo richiesto. La tabella seguente esegue il mapping dei messaggi di errore comuni a possibili cause e risoluzioni.

Messaggio d'errore Causa possibile Resolution
AuthorizationFailed oppure The client does not have authorization to perform action Ruolo del piano di controllo mancante (ruolo proprietario, collaboratore o specifico della risorsa) Identificare l'attività in questo articolo, prendere nota del ruolo minimo e dell'ambito, quindi assegnare il ruolo.
La creazione o l'aggiornamento dell'agente ha esito negativo anche con Owner/Contributor Ruolo del piano dati Foundry mancante nel progetto Assegna Foundry User, Foundry Project Manager o Foundry Owner a livello di progetto. Vedere Installazione dell'agente ospitato.
Creating that role assignment requires Microsoft.Authorization/roleAssignments/write (o equivalente) Il chiamante ha Foundry Project Manager o Foundry Account Owner, ma deve assegnare ruoli al di fuori del vincolo utente Foundry consentito Usa Proprietario o Amministratore del controllo di accesso basato sui ruoli nell'ambito della risorsa di destinazione, ad esempio ACR o Log Analytics.
ForbiddenError sulla distribuzione del modello Proprietario dell'account Foundry mancante nella risorsa Foundry Vedere Distribuire e gestire i modelli.
LinkedAuthorizationFailed durante la creazione di risorse Autorizzazioni mancanti per una risorsa collegata (archiviazione, Key Vault o ricerca) Vedi Configurare l'infrastruttura dell'agente per i requisiti dei ruoli tra servizi.
Agent restituisce 403 in fase di esecuzione Manca il ruolo del piano dati in una risorsa sottostante Verifica le assegnazioni di ruolo dell'identità gestita nella tabella Configurazione standard dell'agente.
Ruolo legacy Azure AI Developer assegnato, ma le attività di Foundry continuano a non andare a buon fine L'assegnazione del ruolo del progetto hub legacy non corrisponde agli attuali requisiti dei ruoli di Foundry Usa le mappature dei ruoli in questo articolo e assegna il ruolo richiesto all'ambito corretto per l'attività non riuscita.
Il pulsante Pubblica agente è disabilitato Foundry Project Manager non presente nell'ambito della risorsa Foundry Assegnare Foundry Project Manager nell'ambito della risorsa Foundry (account), non solo nell'ambito del progetto. Vedere Pubblicare agenti.
RoleAssignmentExists Ruolo già assegnato nel medesimo ambito Non è richiesta alcuna azione.
Errore del nome del modello o dell'area (ad esempio, InvalidModelName) Modello non disponibile nell'area selezionata Controllare la disponibilità dell'area del modello e ridistribuire in un'area supportata.
Errore di quota (ad esempio, InsufficientQuota) La distribuzione supera la quota TPM della sottoscrizione per il modello/area Vedere Gestire le quote per visualizzare l'utilizzo corrente e gli aumenti delle richieste.
Cosmos DB Built-in Data Contributor non trovato in IAM I ruoli del piano dati di Cosmos DB non sono visibili nel pannello Controllo di accesso (IAM) del portale Assegna questo ruolo tramite l'interfaccia della riga di comando di Azure (az cosmosdb sql role assignment create) o Bicep. Per informazioni dettagliate, vedere la nota di configurazione dell'agente Standard .
Could not resolve host o errore di risoluzione DNS dopo la configurazione dell'endpoint privato Zona DNS privata non collegata alla rete virtuale o record DNS non propagati Verificare che la zona DNS privata sia collegata alla rete virtuale corretta. Vedere Configurare il collegamento privato.
Authorization_RequestDeniedda Microsoft Graph o Entra ID Ruolo della directory Microsoft Entra mancante, ad esempio Amministratore globale o amministratore di intelligenza artificiale Microsoft Entra I ruoli della directory Entra vengono assegnati nel Interfaccia di amministrazione di Microsoft Entra, non in Azure RBAC. Vedere Gestire la conformità e il monitoraggio.

Tip

La propagazione delle assegnazioni di ruolo può richiedere fino a cinque minuti. Chiedere allo sviluppatore di disconnettersi e accedere di nuovo dopo aver assegnato il ruolo. Per informazioni generali sulla risoluzione dei problemi di controllo degli accessi in base al ruolo Azure, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo Azure.