Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gli sviluppatori che dispongono del ruolo Utente Foundry nella risorsa Foundry o nell'ambito del progetto possono compilare agenti, eseguire inferenze e usare la maggior parte delle funzionalità foundry. Tuttavia, molte attività amministrative richiedono ruoli con privilegi elevati, ad esempio Owner, Contributor, Foundry Account Owner, o altri ruoli specializzati.
Questo articolo illustra quali ruoli elevati sono necessari per ogni area di amministrazione di Foundry, perché questi ruoli sono necessari e collegamenti alle procedure dettagliate. Usarlo come riferimento quando gli sviluppatori riscontrano errori di autorizzazione o quando si pianificano le assegnazioni di ruolo per un nuovo ambiente.
Note
Le funzionalità di anteprima, le opzioni ospitate e le risorse di backup specifiche possono richiedere ruoli aggiuntivi o autorizzazioni del piano dati. Controllare gli articoli collegati per verificare i requisiti esatti nello scenario in uso.
Per informazioni generali sulle definizioni dei ruoli Foundry, vedere Controllo degli accessi in base al ruolo per Microsoft Foundry.
Concetti chiave
- Piano di controllo : operazioni che gestiscono Azure risorse (creare, eliminare, configurare). Regolato da ruoli di Azure RBAC come Owner e Contributor.
- Piano dati : operazioni che usano le funzionalità di runtime di una risorsa (blob di lettura, indici di query). Disciplinato da ruoli dati come Collaboratore ai dati dei BLOB di archiviazione.
- Identità gestita: identità Microsoft Entra gestita automaticamente che esegue l'autenticazione alle risorse di backup senza credenziali archiviate. In Foundry l'identità gestita del progetto è l'identità usata dal progetto in fase di esecuzione. Alcune configurazioni si basano anche sull'identità condivisa a livello di account per l'accesso alle risorse. Usare il nome di identità corrispondente allo scenario invece di considerare i due termini intercambiabili.
-
Risorsa Foundry — La risorsa di Azure (di tipo
Microsoft.CognitiveServices/accounts) che ospita i progetti Foundry. - Ambito : livello a cui si applica un'assegnazione di ruolo: sottoscrizione, gruppo di risorse, risorsa o progetto. I ruoli assegnati a un ambito superiore si applicano anche ai livelli inferiori.
Panoramica della configurazione dell'ambiente
Quando si effettua il provisioning di un nuovo ambiente Foundry, le attività seguono questo ordine generale:
- Creare una risorsa Foundry : obbligatoria prima di tutte le altre attività.
- Creare uno o più progetti : agenti, modelli e connessioni dinamiche all'interno dei progetti.
- Assegnare ruoli agli sviluppatori : gli sviluppatori necessitano dell'utente Foundry per l'accesso generale. La distribuzione del modello richiede un ruolo separato.
- Distribuire modelli : richiede il proprietario dell'account Foundry.
- Configurare l'infrastruttura dell'agente (se necessario).
- Configurare la rete (se necessario).
- Configurare misure di salvaguardia e criteri.
- Abilitare il monitoraggio.
Suggerimento
Piccolo team (1-5 sviluppatori)? Assegna Owner a te stesso a livello di gruppo di risorse e Foundry User a ogni sviluppatore a livello di risorsa Foundry. Questa assegnazione copre la maggior parte delle attività amministrative. Per i team di grandi dimensioni, usare i gruppi Microsoft Entra e definire l’ambito dei ruoli per progetto.
Le sezioni rimanenti illustrano i requisiti dei ruoli per ogni area. Per un riepilogo di tutti i ruoli con privilegi elevati, vedere Riferimento rapido: riepilogo dei ruoli.
Creare e configurare le risorse foundry
La creazione di risorse e progetti Foundry richiede autorizzazioni del piano di controllo che gli sviluppatori in genere non hanno. Queste operazioni modificano gli oggetti di Azure Resource Manager, quindi richiedono ruoli come Contributor o Foundry Account Owner a livello di sottoscrizione o di gruppo di risorse.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Creare una risorsa Foundry | Collaboratore, Proprietario dell'account FoundryoProprietario di Foundry | Sottoscrizione o gruppo di risorse | Creare la prima risorsa |
| Creare un progetto Foundry | Collaboratore, Proprietario dell'account FoundryoProprietario di Foundry | Risorsa della fonderia | Creare e gestire progetti |
| Eseguire l'aggiornamento dal servizio OpenAI di Azure | ProprietariooCollaboratore | Risorsa OpenAI di Azure | Aggiornamento da Servizio Azure OpenAI |
| Ripristinare o eliminare gli account eliminati | Contributor | Abbonamento | Ripristinare o eliminare le risorse eliminate |
| Creare risorse usando Bicep | CollaboratoreoProprietario | Gruppo di risorse | Creare risorse utilizzando il modello Bicep |
Per istruzioni dettagliate sull'uso di interfaccia della riga di comando di Azure, Bicep o del portale, vedere Creare la prima risorsa e Creare e gestire progetti.
Assegnare ruoli ai membri del team
Per assegnare qualsiasi ruolo a un utente, è necessario il ruolo Proprietario o Amministratore accesso utenti nell'ambito di destinazione. I ruoli Foundry Account Owner e Foundry Project Manager possono assegnare in modo condizionale solo il ruolo Utente Foundry.
Note
Un ruolo assegnato nell'ambito del gruppo di risorse si applica a tutte le risorse e i progetti Foundry all'interno di tale gruppo. Assegna nell'ambito più restrittivo che soddisfa le tue esigenze.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Assegnare Foundry User agli sviluppatori | ProprietariooAmministratore accesso utenti | Risorsa o progetto Foundry | Controllo degli accessi in base al ruolo |
| Assegna Foundry User (condizionale) | Foundry Account OwneroFoundry Project Manager | Risorsa o progetto di Foundry | Controllo degli accessi in base al ruolo |
| Creare ruoli RBAC personalizzati | Proprietario | Sottoscrizione o gruppo di risorse | Controllo degli accessi in base al ruolo |
| Assegnare ruoli personalizzati | Amministratore dell'accesso utentioAmministratore del controllo degli accessi basato sui ruoli | Ambito di destinazione | Controllo degli accessi in base al ruolo |
| Gestire i ruoli con i gruppi di Microsoft Entra | ProprietariooAmministratore accesso utenti | Ambito di destinazione | Controllo degli accessi in base al ruolo |
Suggerimento
Usare Microsoft Entra gruppi per semplificare le assegnazioni di ruolo. Creare un gruppo di sicurezza, assegnarlo al ruolo appropriato e aggiungere gli sviluppatori come membri. Per una procedura dettagliata, vedere Controllo degli accessi in base al ruolo .
Considerazioni sull'ambito
- Assegna il ruolo Utente Foundry nell'ambito della risorsa Foundry per concedere l'accesso a tutti i progetti all'interno della risorsa.
- Assegna nell'ambito del progetto per limitare l'accesso a un singolo progetto.
- Per le organizzazioni che usano Microsoft Entra Privileged Identity Management (PIM), è consigliabile rendere idonee le assegnazioni di ruolo elevate anziché permanenti. Le assegnazioni idonee richiedono l'attivazione just-in-time, che riduce l'esposizione ai privilegi permanenti.
Per le procedure dettagliate di assegnazione dei ruoli, vedere Controllo degli accessi in base al ruolo per Microsoft Foundry e Assegnare ruoli Azure.
Note
La propagazione delle assegnazioni di ruolo può richiedere fino a cinque minuti. Se uno sviluppatore segnala l'accesso negato immediatamente dopo l'assegnazione, chiedere loro di attendere e riprovare. Vedere Risolvere gli errori di autorizzazione comuni per le cause comuni.
Configurare l'infrastruttura dell'agente
La configurazione dell'agente è l'area che richiede il maggior numero di autorizzazioni in Foundry. I ruoli necessari dipendono dall'opzione di configurazione scelta.
| Opzione di installazione | Scegliere quando | Prerequisiti | Compromesso |
|---|---|---|---|
| Standard | È necessario avere il controllo completo sulla residenza dei dati e sul provisioning delle risorse | Provisioning eseguito per le risorse Cosmos DB, Ricerca AI e di archiviazione nel gruppo di risorse | Gestisci il provisioning e il controllo degli accessi basato sui ruoli (RBAC) per Cosmos DB, Search e Storage |
| Ospitato | Si vuole il percorso più veloce con configurazione minima | Nessuno : Foundry effettua automaticamente il provisioning delle risorse di backup | Foundry gestisce le risorse di backup; minore controllo di rete |
| Risorse BYO | Sono già disponibili Cosmos DB, Ricerca o Archiviazione con requisiti di conformità specifici | Risorse di Cosmos DB, ricerca di intelligenza artificiale o archiviazione esistenti con accesso alla rete configurato | Colleghi le risorse esistenti e ne gestisci il controllo degli accessi basato sui ruoli (RBAC) |
Esaminare la sottosezione corrispondente all'opzione di configurazione. Ignorare gli altri. Se i requisiti cambiano, è possibile tornare a loro in un secondo momento.
Configurazione dell'agente standard
La configurazione standard dell'agente richiede di eseguire il provisioning e la gestione delle proprie risorse di Azure Cosmos DB, Azure AI Search e Archiviazione di Azure. Questo approccio offre il controllo completo sulla residenza dei dati, ma richiede l'assegnazione di ruoli del piano dati all'identità gestita del progetto in ogni risorsa di backup.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Assegnare ruoli tra servizi (Cosmos DB, Ricerca, Archiviazione) | Proprietariooamministratore di Controllo di accesso basato su ruoli | Gruppo di risorse | Configurazione dell'agente standard |
| Effettuare il provisioning delle risorse dell'agente | Proprietario dell'account FoundryoProprietario | Abbonamento | Configurare le risorse dell'agente |
Assegnare i seguenti ruoli del piano dati all'identità gestita del progetto Foundry nelle risorse sottostanti:
| Risorsa | Ruolo |
|---|---|
| Azure Cosmos DB, un servizio di database distribuito globale di Microsoft | Collaboratore dati predefinito di Cosmos DB |
| Ricerca di intelligenza artificiale di Azure | Collaboratore dati indice di ricerca, Collaboratore del servizio di ricerca |
Archiviazione di Azure (azureml-blobstore) |
Collaboratore ai dati di Storage Blob |
Archiviazione di Azure (agents-blobstore) |
proprietario dei dati dei BLOB di archiviazione |
Note
Collaboratore dati predefinito di Cosmos DB è un ruolo del piano dati di Cosmos DB. Assegnalo tramite interfaccia della riga di comando di Azure (az cosmosdb sql role assignment create) o Bicep, non tramite la scheda standard Access control (IAM). Per informazioni dettagliate, vedere Configurare il controllo degli accessi in base al ruolo per Azure Cosmos DB.
Per la procedura di provisioning completa e i template Bicep, vedere Configurazione dell'agente standard.
Configurazione dell'agente ospitato
La configurazione dell'agente ospitato è ancora il modo più rapido per predisporre l'infrastruttura di runtime degli agenti, ma richiede prerequisiti espliciti in termini di risorse e RBAC. Oltre all'account e al progetto Foundry, pianificare Registro Azure Container (ACR), Application Insights e un'area di lavoro Log Analytics collegata.
| Area attività | Ruolo minimo | Scope | Note |
|---|---|---|---|
| Creare risorse di ACR, Application Insights e Log Analytics | CollaboratoreoProprietario | Gruppo di risorse | Obbligatorio quando il flusso di distribuzione ospitato crea queste risorse. |
| Crea agenti ospitati e versioni degli agenti (piano dati) | Utente Foundry, Responsabile di progetto Foundry, oProprietario Foundry | Progetto Fonderia | Proprietario/I collaboratori non sono sufficienti per le operazioni di creazione o aggiornamento dell'agente del piano dati. |
| Creare connessioni di progetto | Foundry Project Manager, Proprietario dell'account Foundry, Proprietario Foundry, Collaboratore, oProprietario | Progetto Fonderia | Necessario per le connessioni ACR e di osservabilità. |
| Assegnare il ruolo di pull/lettura di ACR all'identità gestita del progetto | Proprietariooamministratore di Controllo di accesso basato su ruoli | Risorsa ACR | Assegna Container Registry Repository Reader (o AcrPull). |
| Caricare immagini in ACR per la distribuzione | Autore del repository di Container Registry (o AcrPush) | Risorsa di Azure Container Registry | Obbligatorio per l'utente o l'entità che esegue il push delle immagini dell'agente. |
| Leggere i dati di telemetria dell'agente per le valutazioni | lettore dati Log Analytics | Area di lavoro di Log Analytics | Necessaria per l'identità gestita del progetto per le valutazioni che leggono i dati dell'area di lavoro. |
Note
Foundry Project Manager e Foundry Account Owner possono assegnare solo il ruolo Foundry User nel proprio ambito limitato di assegnazione dei ruoli. Usa Proprietario o Amministratore del controllo degli accessi in base al ruolo quando hai bisogno di assegnazioni di ruolo su risorse esterne come ACR o Log Analytics.
Per istruzioni dettagliate sulle autorizzazioni dell'agente ospitato, vedere Riferimento alle autorizzazioni dell'agente ospitato.
Per istruzioni dettagliate, vedere Distribuire un agente ospitato.
Porta le tue risorse
Usare questa opzione quando sono già presenti Azure Cosmos DB, ricerca di intelligenza artificiale o risorse di archiviazione con requisiti di conformità specifici. Alleghi le risorse esistenti a un progetto Foundry e assegni i ruoli del piano dati necessari all'identità gestita del progetto.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Aggiungi le proprie risorse | Proprietario dell'account FoundryoProprietario | Abbonamento | Usare le proprie risorse Azure |
| Assegnare ruoli all'identità gestita | ProprietariooAmministratore accesso utenti | Risorsa di destinazione | Usare le proprie risorse Azure |
Per istruzioni dettagliate, vedere Usare le proprie risorse Azure.
Strumenti dell'agente con requisiti elevati
Diversi strumenti dell'agente richiedono il ruolo Contributor o superiore per effettuare il provisioning o configurare le risorse sottostanti.
Strumenti dell'infrastruttura
| Tool | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Ancoraggio con Bing | CollaboratoreoProprietario | Sottoscrizione o gruppo di risorse | Strumenti Bing |
| Automazione del browser (anteprima) | CollaboratoreoProprietario | Gruppo di risorse | Automazione del browser |
| Ricerca di intelligenza artificiale | Collaboratore dati indice di ricerca, Collaboratore del servizio di ricerca | Risorsa ricerca intelligenza artificiale | Strumento di ricerca di intelligenza artificiale |
| Ricerca di file | Collaboratore ai dati di Storage Blob | Account di archiviazione del progetto | Ricerca di file |
| Interprete di codice personalizzato (anteprima) | Collaboratore ambienti gestiti di app contenitore + Foundry Owner | Sottoscrizione o gruppo di risorse | Interprete di codice personalizzato |
Strumenti di integrazione
| Tool | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Strumento OpenAPI | CollaboratoreoProprietario | Progetto Fonderia | Strumento OpenAPI |
| Strumento MCP | CollaboratoreoProprietario | Progetto Fonderia | Strumento per Model Context Protocol |
| Da agente a agente (anteprima) | CollaboratoreoProprietario | Risorsa della fonderia | Da agente a agente |
| Riconoscimento vocale di Azure | Collaboratore ai dati di Storage Blob | Account di archiviazione | strumento voce Azure |
Agenti di pubblicazione
La pubblicazione promuove un agente da una risorsa di sviluppo all'interno di un progetto Foundry a una risorsa gestita di tipo Applicazione agente con un endpoint stabile. Per pubblicare un agente, è necessario il ruolo Foundry Project Manager nell'ambito della risorsa Foundry.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Pubblica un agente come Applicazione agente | Foundry Project Manager | Risorsa della fonderia | Pubblicare e condividere agenti |
| Richiama un'applicazione Agent pubblicata | Utente di Foundry | Risorsa dell'applicazione Agent | Richiamare le applicazioni agente |
| Pubblicare un agente in Microsoft 365 e Teams | Foundry Project Manager | Progetto Fonderia | Pubblicare agenti in Microsoft 365 e Teams |
| Riassegnare RBAC all'identità pubblicata dell'agente | ProprietariooAmministratore accesso utenti | Risorsa di destinazione | Concetti relativi all'identità dell'agente |
Importante
Quando si pubblica un agente, all'agente viene assegnata una nuova identità Entra distinta. Le autorizzazioni assegnate all'identità condivisa del progetto non vengono trasferite. Riassegnare i ruoli RBAC per tutte le risorse downstream a cui l'agente accede (archiviazione, ricerca, Key Vault) alla nuova identità dell'agente. Per informazioni dettagliate, vedere Concetti relativi all'identità dell'agente.
Distribuire e gestire modelli
Per distribuire un modello, è necessario il ruolo Proprietario dell'account Foundry sulla risorsa Foundry. Alcuni scenari, ad esempio i modelli di marketplace o il throughput con provisioning, richiedono ruoli più elevati. Nella tabella seguente sono elencate tutte le attività correlate al modello e i relativi requisiti di ruolo.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Distribuire un modello dal catalogo | Proprietario dell'account Foundry | Risorsa della fonderia | Creare distribuzioni di modelli |
| Implementare modelli Foundry | Proprietario dell'account Foundry | Risorsa della fonderia | Distribuire modelli Foundry |
| Implementare la capacità effettiva con provisioning | Proprietario dell'account Foundry | Risorsa della fonderia | Larghezza di banda allocata |
| Distribuire modelli del Marketplace | Contributor | Abbonamento | Distribuire modelli Foundry |
| Distribuire modelli Fireworks | Proprietario di Foundry (progetto) + Collaboratore dell'abbonamento | Sottoscrizione e progetto | Abilitare i modelli di Fuochi d'artificio |
| Ottimizzare un modello | Foundry Owner (oFoundry User + Foundry Account Owner) | Risorsa della fonderia | Controllo degli accessi in base al ruolo |
| Distribuire un modello ottimizzato tra tenant | Foundry Project Manager | Risorse di origine e di destinazione | Ottimizzazione della distribuzione |
| Visualizzare le quote | Proprietario dell'account Foundry | Abbonamento | Gestire le quote |
| Richiedere aumenti di quota | Contributor | Abbonamento | Gestire le quote |
| Modificare le quote | Proprietario dell'account Foundry | Risorsa e abbonamento di Foundry | Gestire le quote |
| Creare elenchi di blocchi di contenuto | Proprietario dell'account Foundry | Risorsa OpenAI di Azure | Usare elenchi di blocchi |
Le distribuzioni di modelli del Marketplace richiedono l'accesso a livello di sottoscrizione perché creano contratti di fatturazione. Il fine-tuning richiede Foundry Owner perché crea processi di addestramento che consumano risorse di calcolo e di archiviazione. Prima di distribuire un modello, verificare che la sottoscrizione disponga di una quota sufficiente per il modello di destinazione e l'area. Vedere Gestire le quote.
Per istruzioni dettagliate sulla distribuzione, vedere Creare distribuzioni di modelli.
Configurare la sicurezza e la rete
Le configurazioni di rete e crittografia richiedono ruoli elevati in più risorse. Queste configurazioni riguardano la risorsa Foundry, le reti virtuali, le zone DNS e Key Vault, quindi in genere sono necessari più ruoli.
Gli endpoint privati
Gli endpoint privati limitano l'accesso alla risorsa Foundry al traffico da reti virtuali specifiche. La configurazione di un endpoint privato richiede ruoli in tre risorse diverse.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Creare un endpoint privato | CollaboratoreoProprietario | Risorsa della fonderia | Configurare il collegamento privato |
| Configurare la rete virtuale | Collaboratore di rete | Rete virtuale | Configurare il collegamento privato |
| Configurare la zona DNS privata | Collaboratore zona DNS privata | DNS zone | Configurare il collegamento privato |
Per istruzioni dettagliate, vedere Configurare un collegamento privato.
Reti virtuali gestite
Una rete virtuale gestita isola le risorse Foundry dietro una rete gestita da Foundry. Questa configurazione semplifica la configurazione di rete rispetto all'uso della propria rete virtuale.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Configurare la rete virtuale gestita | ProprietariooCollaboratore | Risorsa della fonderia | Rete virtuale gestita |
| Assegnare RBAC alle risorse nella VNet gestita | Proprietariooamministratore di Controllo di accesso basato su ruoli | Risorse mirate | Rete virtuale gestita |
Perimetro di sicurezza della rete
Un perimetro di sicurezza di rete offre un modo centralizzato per gestire l'accesso di rete tra più risorse Azure. Aggiungere la risorsa Foundry a un perimetro esistente per applicare regole di rete coerenti.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Aggiungere Foundry al perimetro di sicurezza di rete (anteprima) | Proprietario, CollaboratoreoCollaboratore rete | Risorsa della fonderia | Perimetro di sicurezza della rete |
Chiavi gestite dal cliente
Usando chiavi gestite dal cliente (CMK), è possibile crittografare i dati foundry con le chiavi controllate in Azure Key Vault. La chiave gestita dal cliente (CMK) richiede ruoli sia in Key Vault sia nella risorsa Foundry, perché prima si concede all'identità gestita l'accesso alla chiave e poi si configura la risorsa per utilizzarla.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Assegnare RBAC su Key Vault | ProprietariooAmministratore accesso utenti | Key Vault | Configurare le chiavi gestite dal cliente |
| Assegna Key Vault Crypto User all'identità gestita | ProprietariooAmministratore accesso utenti | Key Vault | Configurare le chiavi gestite dal cliente |
| Configurare la crittografia nella risorsa Foundry | CollaboratoreoProprietario | Risorsa della fonderia | Configurare le chiavi gestite dal cliente |
Per la procedura completa, vedere Configurare le chiavi gestite dal cliente.
Connessioni di Key Vault
Una connessione Key Vault consente ai progetti Foundry di accedere a segreti, certificati e chiavi archiviati in Azure Key Vault senza incorporare le credenziali nel codice. Creare una connessione quando gli agenti o i modelli distribuiti devono recuperare chiavi API o certificati in fase di esecuzione.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Creare una connessione a Key Vault | Key Vault Collaboratore + Key Vault Amministratore | Key Vault | Archiviare i segreti nel Azure Key Vault |
Configurare misure di controllo e criteri
Configurare protezioni e assegnazioni di Criteri di Azure per limitare quali modelli, strumenti e configurazioni sono disponibili nell'ambiente Foundry. Per completare queste attività sono necessari ruoli a livello di amministratore perché applicano limiti di governance a tutti gli sviluppatori in una sottoscrizione o in un gruppo di risorse.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Creare misure di salvaguardia | Proprietario dell'account Foundry o superiore | Risorsa della fonderia | Crea barriere di protezione |
| Creare criteri di protezione | ProprietariooCollaboratore dei criteri delle risorse | Sottoscrizione o gruppo di risorse | Crea criteri di protezione |
| Creare criteri di distribuzione del modello | ProprietariooCollaboratore criteri delle risorse | Sottoscrizione o gruppo di risorse | Criteri di distribuzione del modello |
| Creare definizioni di criteri personalizzate | Collaboratore criteri delle risorse (privilegio minimo) oProprietario | Ambito di destinazione | Creare definizioni di criteri personalizzate |
| Configurare protezioni di terze parti | Proprietario (sottoscrizione) + amministratore Key Vault | Sottoscrizione e Key Vault | Integrazioni di terze parti |
| Applicare i limiti dei token tramite il gateway di intelligenza artificiale | Collaboratore oproprietariodel servizio Gestione API | Risorsa di Gestione API | Applicare i limiti dei token |
| Gestire gli strumenti dell'agente tramite il gateway di intelligenza artificiale | Collaboratore oproprietariodel servizio Gestione API | istanza di APIM | Gestisci gli strumenti dell'agente |
Per una procedura dettagliata sulla creazione del primo guardrail, vedere Creare protezioni. Per i criteri di distribuzione dei modelli, vedere Criteri di distribuzione del modello.
Gestire la conformità e il monitoraggio
Le attività di conformità e monitoraggio comprendono i ruoli di Azure RBAC e i ruoli della directory Microsoft Entra. Comprendere la distinzione è importante: assegnare i ruoli della directory nel Interfaccia di amministrazione di Microsoft Entra, non nel pannello Controllo di accesso (IAM) del portale di Azure.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Abilitare Microsoft Defender per il cloud | Amministratore della sicurezzaoproprietario | Abbonamento | Gestire la conformità e la sicurezza |
| Configurare Microsoft Purview | Proprietario dell'account Foundry | Risorsa della fonderia | Gestire la conformità e la sicurezza |
| Configurare le impostazioni di diagnostica | Collaboratore al monitoraggio | Risorsa della fonderia | Monitorare i modelli |
| Configurare il tracciamento di Application Insights | Collaboratore o superiore | Una risorsa di Application Insights | Framework dell'agente di tracciamento |
| Gestire l'infrastruttura dell'agente (Entra admin) | Amministratore globaleoMicrosoft Entra amministratore di intelligenza artificiale | Microsoft Entra tenant | Gestisci l'infrastruttura dell'agente come amministratore di Entra |
| Configurare i criteri di accesso condizionale | Amministratore accesso condizionale | Microsoft Entra ID | Procedure consigliate per la sicurezza MCP |
Importante
L'elevazione di Amministratore globale assegna il ruolo di Amministratore accessi utente nell'ambito radice (/) di tutte le sottoscrizioni. Rimuovere questa elevazione dopo aver completato le attività necessarie. Per i dettagli, vedere Gestire l'infrastruttura dell'agente in qualità di amministratore di Entra.
Per la configurazione passo passo del monitoraggio, consulta Monitoraggio dei modelli e Framework dell'agente di tracciamento.
Configurare l'accesso allo spazio di archiviazione e al piano dati
Gli agenti, le valutazioni e diversi strumenti di Foundry richiedono ruoli del piano dati su risorse di archiviazione e di ricerca. Assegnare questi ruoli all'identità gestita del progetto Foundry, non agli utenti umani, in modo che il servizio possa accedere alle risorse di backup in fase di esecuzione.
La tabella seguente include una colonna Assegnata a perché questi ruoli si applicano alle identità gestite anziché agli utenti umani.
| Attività | Ruolo minimo da assegnare | Assegnato a | Risorsa di destinazione | Dettagli |
|---|---|---|---|---|
| Archiviazione BYO per Foundry | Collaboratore ai dati di Storage Blob | identità gestita del progetto | Account di archiviazione | Connettersi alla propria risorsa di archiviazione |
| Archiviazione BYO per riconoscimento vocale/lingua | Collaboratore ai dati di Storage Blob | Identità gestita Foundry | Account di archiviazione | Connetti il tuo archivio per Voce/Lingua |
| Eseguire valutazioni con l'archiviazione di Entra ID | proprietario dei dati dei BLOB di archiviazione | Risorsa utente e progetto | Account di archiviazione | Aree di valutazione e limiti |
| Indicizzazione di Foundry IQ (anteprima) | Contributore ai dati dell'indice di ricerca | identità gestita del progetto | Risorsa ricerca intelligenza artificiale | Connessione Foundry IQ |
Note
L'assegnazione di ruoli del piano dati come Collaboratore ai dati dei BLOB di archiviazione a un'identità gestita richiede Owner o Amministratore accessi utente sulla risorsa di destinazione.
Configurare il ripristino di emergenza
Il ripristino di emergenza per Foundry copre due scenari: failover della risorsa Foundry stessa (disponibilità elevata) e failover delle risorse di backup dell'agente. Il DR del servizio Agent richiede particolarmente numerosi ruoli, perché richiede l'accesso a Cosmos DB, AI Search e Storage, oltre alla risorsa Foundry.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Configurare la disponibilità elevata | ProprietariooCollaboratore + Amministratore dell'accesso utente | Gruppo di risorse | Disponibilità elevata e resilienza |
| Servizio Agent DR (operatore) | ProprietariooCollaboratore + Collaboratore account DocumentDB + Collaboratore servizio di ricerca + Collaboratore dati BLOB di archiviazione | Gruppo di risorse e risorse di backup | Ripristino di emergenza del servizio dell'agente |
| Ripristino di emergenza del servizio agente (piattaforma) | CollaboratoreoProprietario + Collaboratore dell'account di archiviazione | Risorse e archiviazione di Foundry | Ripristino di emergenza dall'interruzione della piattaforma |
Per informazioni dettagliate sulle procedure di disaster recovery, vedi Alta disponibilità e resilienza e disaster recovery del servizio Agent.
Configurare connessioni e integrazioni
Foundry si integra con Gestione API, server MCP e servizi esterni. La maggior parte delle attività di integrazione richiede almeno Collaboratore perché crea o modifica le risorse Azure. Il collegamento di Foundry a un gateway di intelligenza artificiale richiede il ruolo Proprietario dell'account Foundry perché modifica la configurazione dell'account.
| Attività | Ruolo minimo | Scope | Dettagli |
|---|---|---|---|
| Aggiungere connessioni a Foundry | Utente di Foundry, Proprietario di Foundry, oCollaboratore | Progetto Fonderia | Creare una connessione |
| Abilitare Gateway AI (APIM) | CollaboratoreoProprietario | Gruppo di risorse o sottoscrizione | Abilitare il gateway di Gestione API di intelligenza artificiale |
| Collegare Foundry al gateway di intelligenza artificiale | Proprietario dell'account FoundryoProprietario di Foundry | Risorsa della fonderia | Abilitare il gateway di Gestione API di intelligenza artificiale |
| Configurare l'accesso al server MCP | Collaboratore o superiore | Progetto Fonderia | Introduzione a MCP |
| Creare un server MCP personalizzato | Contributor | Gruppo di risorse | Creare un server MCP personalizzato |
| Gestire l'accesso MCP (assegnazione di ruolo) | ProprietariooAmministratore accesso utenti | Risorsa di destinazione | Procedure consigliate per la sicurezza MCP |
| Configurare Claude Code | CollaboratoreoProprietario | Gruppo di risorse | Configurare Claude Code |
| Gestire i tag nelle risorse | CollaboratoreoCollaboratore tag | Ambito di destinazione | Disabilitare le funzionalità di anteprima |
Riferimento rapido: riepilogo dei ruoli
La tabella seguente riepiloga i ruoli con privilegi elevati principali e quando gli amministratori ne hanno bisogno. Usarlo per identificare rapidamente il ruolo da assegnare per una determinata categoria di attività.
| Ruolo | Quando è necessario |
|---|---|
| Proprietario | Assegnazioni di ruolo, ruoli RBAC personalizzati, creazione di criteri, operazioni a livello di sottoscrizione |
| Contributor | Provisioning delle risorse, distribuzione del modello del marketplace, operazioni di scrittura MCP, endpoint privati |
| Proprietario dell'account Foundry | Creazione di risorse e progetti Foundry, distribuzione dei modelli, gestione delle quote, liste di blocco dei contenuti, protezioni, integrazione di Purview, assegnazione condizionale dei ruoli |
| Foundry Project Manager | Pubblicazione di agenti, assegnazione condizionale del ruolo Foundry User |
| Proprietario della fonderia | Messa a punto, distribuzione di agenti ospitati, operazioni combinate del piano dati e del piano di controllo |
| Amministratore accessi utente | Assegnare ruoli quando non si dispone del ruolo "Owner"; RBAC di Key Vault per CMK; accesso al registro contenitori |
| Collaboratore/Proprietario dei dati dei BLOB di archiviazione | archiviazione di supporto per agenti, valutazioni, archiviazione BYO, strumento di ricerca dei file |
| Contributore ai dati dell'indice di ricerca | Strumenti per agenti basati su AI Search, indicizzazione di Foundry IQ |
| Amministratore di Key Vault | Connessioni di Key Vault, misure di protezione di terze parti |
| Collaboratore alla politica delle risorse | Assegnazioni di Criteri di Azure per la distribuzione del modello e i criteri personalizzati |
| Amministratore globale | Gestione dell'agente a livello di tenant, elevazione dei privilegi di accesso |
| Amministrazione di sicurezza | Microsoft Defender per il cloud |
| Collaboratore al monitoraggio | Impostazioni di diagnostica |
| Collaboratore di rete | Configurazione della rete virtuale, perimetro di sicurezza di rete |
Risolvere gli errori comuni relativi alle autorizzazioni
Quando gli sviluppatori riscontrano errori di autorizzazione, usare le tabelle delle attività in questo articolo per identificare il ruolo richiesto. La tabella seguente esegue il mapping dei messaggi di errore comuni a possibili cause e risoluzioni.
| Messaggio d'errore | Causa possibile | Resolution |
|---|---|---|
AuthorizationFailed oppure The client does not have authorization to perform action |
Ruolo del piano di controllo mancante (ruolo proprietario, collaboratore o specifico della risorsa) | Identificare l'attività in questo articolo, prendere nota del ruolo minimo e dell'ambito, quindi assegnare il ruolo. |
| La creazione o l'aggiornamento dell'agente ha esito negativo anche con Owner/Contributor | Ruolo del piano dati Foundry mancante nel progetto | Assegna Foundry User, Foundry Project Manager o Foundry Owner a livello di progetto. Vedere Installazione dell'agente ospitato. |
Creating that role assignment requires Microsoft.Authorization/roleAssignments/write (o equivalente) |
Il chiamante ha Foundry Project Manager o Foundry Account Owner, ma deve assegnare ruoli al di fuori del vincolo utente Foundry consentito | Usa Proprietario o Amministratore del controllo di accesso basato sui ruoli nell'ambito della risorsa di destinazione, ad esempio ACR o Log Analytics. |
ForbiddenError sulla distribuzione del modello |
Proprietario dell'account Foundry mancante nella risorsa Foundry | Vedere Distribuire e gestire i modelli. |
LinkedAuthorizationFailed durante la creazione di risorse |
Autorizzazioni mancanti per una risorsa collegata (archiviazione, Key Vault o ricerca) | Vedi Configurare l'infrastruttura dell'agente per i requisiti dei ruoli tra servizi. |
Agent restituisce 403 in fase di esecuzione |
Manca il ruolo del piano dati in una risorsa sottostante | Verifica le assegnazioni di ruolo dell'identità gestita nella tabella Configurazione standard dell'agente. |
Ruolo legacy Azure AI Developer assegnato, ma le attività di Foundry continuano a non andare a buon fine |
L'assegnazione del ruolo del progetto hub legacy non corrisponde agli attuali requisiti dei ruoli di Foundry | Usa le mappature dei ruoli in questo articolo e assegna il ruolo richiesto all'ambito corretto per l'attività non riuscita. |
| Il pulsante Pubblica agente è disabilitato | Foundry Project Manager non presente nell'ambito della risorsa Foundry | Assegnare Foundry Project Manager nell'ambito della risorsa Foundry (account), non solo nell'ambito del progetto. Vedere Pubblicare agenti. |
RoleAssignmentExists |
Ruolo già assegnato nel medesimo ambito | Non è richiesta alcuna azione. |
Errore del nome del modello o dell'area (ad esempio, InvalidModelName) |
Modello non disponibile nell'area selezionata | Controllare la disponibilità dell'area del modello e ridistribuire in un'area supportata. |
Errore di quota (ad esempio, InsufficientQuota) |
La distribuzione supera la quota TPM della sottoscrizione per il modello/area | Vedere Gestire le quote per visualizzare l'utilizzo corrente e gli aumenti delle richieste. |
Cosmos DB Built-in Data Contributor non trovato in IAM |
I ruoli del piano dati di Cosmos DB non sono visibili nel pannello Controllo di accesso (IAM) del portale | Assegna questo ruolo tramite l'interfaccia della riga di comando di Azure (az cosmosdb sql role assignment create) o Bicep. Per informazioni dettagliate, vedere la nota di configurazione dell'agente Standard . |
Could not resolve host o errore di risoluzione DNS dopo la configurazione dell'endpoint privato |
Zona DNS privata non collegata alla rete virtuale o record DNS non propagati | Verificare che la zona DNS privata sia collegata alla rete virtuale corretta. Vedere Configurare il collegamento privato. |
Authorization_RequestDeniedda Microsoft Graph o Entra ID |
Ruolo della directory Microsoft Entra mancante, ad esempio Amministratore globale o amministratore di intelligenza artificiale Microsoft Entra | I ruoli della directory Entra vengono assegnati nel Interfaccia di amministrazione di Microsoft Entra, non in Azure RBAC. Vedere Gestire la conformità e il monitoraggio. |
Tip
La propagazione delle assegnazioni di ruolo può richiedere fino a cinque minuti. Chiedere allo sviluppatore di disconnettersi e accedere di nuovo dopo aver assegnato il ruolo. Per informazioni generali sulla risoluzione dei problemi di controllo degli accessi in base al ruolo Azure, vedere Risolvere i problemi relativi al controllo degli accessi in base al ruolo Azure.
Contenuti correlati
- Controllo degli accessi in base al ruolo per Microsoft Foundry
- Autenticazione e autorizzazione
- Implementazione del piano
- Assegnare ruoli di Azure
- Gestire la conformità e la sicurezza
- Gestisci l'infrastruttura dell'agente come amministratore di Entra
- Gestire le quote
- Monitorare i modelli
- Configurare le risorse dell'agente
- Configurare il collegamento privato
- Risolvere i problemi di Azure RBAC