Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Dieses Dokument bezieht sich auf das Microsoft Foundry(klassische) Portal.
🔄 Wechseln Sie zur Microsoft Foundry-Dokumentation (neu), wenn Sie das neue Portal verwenden.
Hinweis
Dieses Dokument bezieht sich auf das Microsoft Foundry (neue) Portal.
Tipp
Ein alternativer RBAC-Artikel mit Hub-Relevanz ist verfügbar: Rollenbasierte Zugriffssteuerung für Microsoft Foundry (Hubs und Projekte).
In diesem Artikel erfahren Sie mehr über die rollenbasierte Zugriffssteuerung (RBAC) in Ihrer Microsoft Foundry-Ressource. Verwenden Sie RBAC, um den Zugriff auf Ressourcen zu verwalten, z. B. das Erstellen neuer Ressourcen oder das Verwenden einer vorhandenen Ressource. Weisen Sie Benutzerrollen zu, die Zugriff auf Ressourcen gewähren. Dieser Artikel befasst sich mit den Details zu RBAC in Microsoft Foundry und der optimalen Nutzung von Rollenzuweisungen für Ihr Unternehmen.
In diesem Artikel erfahren Sie, wie Sie den Zugriff auf Ihre Microsoft Foundry-Ressourcen verwalten. Verwenden Sie rollenbasierte Zugriffssteuerung (RBAC), um den Zugriff auf Ressourcen zu verwalten, z. B. das Erstellen neuer Ressourcen oder die Verwendung einer vorhandenen. Weisen Sie Benutzerrollen zu, die Zugriff auf Ressourcen gewähren. Dieser Artikel befasst sich mit den Details zu RBAC in Microsoft Foundry und der optimalen Nutzung von Rollenzuweisungen für Ihr Unternehmen.
Weitere Informationen zur Authentifizierung und Autorisierung in Microsoft Foundry finden Sie unter Authentifizierung und Autorisierung. In diesem Artikel wird die Terminologie erwähnt, die im vorherigen Artikel erläutert wird.
Erste Schritte
Verwenden Sie für neue Benutzer in Azure und Microsoft Foundry die folgende Prüfliste, um sicherzustellen, dass Ihrem Benutzerprinzipal und der verwalteten Identität Ihres Projekts alle richtigen Rollen zugewiesen sind, um die ersten Schritte in foundry zu starten. Sie können Ihre Rollen überprüfen, indem Sie die Leitlinie Zugriff für einen Benutzer auf eine einzelne Azure-Ressource überprüfen verwenden.
- Weisen Sie Ihrem Benutzer-Prinzipal die Azure AI Benutzer-Rolle auf Ihrer Foundry-Ressource zu.
- Weisen Sie die Azure AI-Benutzerrolle Ihrer Foundry-Ressource Ihrer verwalteten Identität des Projekts zu.
Wenn der Benutzer, der das Projekt erstellt hat, Rollen, z. B. die zugewiesene Azure-Besitzerrolle , im Abonnement- oder Ressourcengruppenbereich zuweisen kann, werden beide Rollen automatisch zugewiesen.
Wenn Sie Ihrem Benutzerprinzipal oder der verwalteten Identität Ihres Projekts eine Rolle zuweisen möchten, befolgen Sie die Richtlinien im folgenden Abschnitt.
Weise eine Rolle Ihrem Benutzerprinzipal zu
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Ihrer Foundry-Ressource.
- Wählen Sie im linken Bereich access control (IAM) aus.
- Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
- Wählen Sie unter "Rolle" den Azure AI-Benutzer aus. Wählen Sie unter "Mitglieder" "Benutzer", "Gruppe" oder "Dienstprinzipal" aus, und suchen Sie nach Ihrem Namen oder Ihrer E-Mail, und wählen Sie "Auswählen" aus.
- Schließlich Prüfen Sie die Rolle und weisen Sie sie zu.
Weisen Sie eine Rolle für die verwaltete Identität Ihres Projekts zu
- Melden Sie sich beim Azure-Portal an.
- Wechseln Sie zu Ihrem Foundry-Projekt.
- Wählen Sie im linken Bereich access control (IAM) aus.
- Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
- Wählen Sie unter "Rolle" den Azure AI-Benutzer aus. Wählen Sie unter "Mitglieder" die Option "Verwaltete Identität" und dann die verwaltete Identität Ihres Projekts und "Auswählen" aus.
- Schließlich Prüfen Sie die Rolle und weisen Sie sie zu.
Weitere Informationen finden Sie im restlichen Dokument, um einen umfassenden Einblick in die rollenbasierte Zugriffssteuerung in Microsoft Foundry zu erhalten.
Terminologie für rollenbasierte Zugriffssteuerung in Foundry
Um die rollenbasierte Zugriffssteuerung in Microsoft Foundry zu verstehen, sollten Sie zwei Fragen für Ihr Unternehmen in Betracht ziehen.
Welche Berechtigungen soll mein Team beim Erstellen in Microsoft Foundry haben?
Für welchen Umfang möchte ich meinem Team die Berechtigungen zuweisen?
Um diese Fragen zu beantworten, finden Sie hier Beschreibungen einiger Terminologie, die in diesem Artikel verwendet werden.
- Berechtigungen: Die zulässigen oder verweigerten Aktionen, die eine Identität für eine Ressource ausführen kann, z. B. Lesen, Schreiben, Löschen oder Verwalten der Steuerungsebene und der Datenebene. In Foundry umfasst dieses Konzept Lese-, Schreib- oder Löschberechtigungen.
- Geltungsbereich: Der Satz von Azure-Ressourcen, auf den eine Rollenvergabe angewendet wird. Mögliche Bereiche sind Abonnement, Ressourcengruppe, Foundry-Ressource oder Foundry-Projekt.
- role: Eine benannte Sammlung von Berechtigungen, die definiert, welche Aktionen für Azure-Ressourcen in einem bestimmten Bereich ausgeführt werden können.
Um diese Begriffe miteinander zu verknüpfen, wird einer Identität eine Rolle mit bestimmten Berechtigungen zum Erstellen und Entwickeln von Foundry-Ressourcen und Projekten zugewiesen. Je nach Unternehmensanforderungen weisen Sie einen bestimmten Bereich zu.
Berücksichtigen Sie in Microsoft Foundry zwei Bereiche beim Durchführen von Rollenzuweisungen.
- Foundry-Ressource: Der Bereich der obersten Ebene, der die Administrative, Sicherheit und Überwachungsgrenze für eine Microsoft Foundry-Umgebung definiert.
- Foundry-Projekt: Ein Teilbereich innerhalb einer Foundry-Ressource, der zum Organisieren von Arbeiten und Erzwingen der Zugriffssteuerung für Foundry-APIs, -Tools und -Entwickler-Workflows verwendet wird.
Festgelegte Rollen
Eine integrierte Rolle in Foundry ist eine Von Microsoft erstellte Rolle, die allgemeine Zugriffsszenarien abdeckt, die Sie Ihren Teammitgliedern zuweisen können. Wichtige integrierte Rollen, die in Azure verwendet werden, sind Besitzer, Mitwirkender und Leser. Diese Rollen sind nicht spezifisch für Foundry-Ressourcenberechtigungen.
Verwenden Sie für Foundry-Ressourcen zusätzliche integrierte Rollen, um die Grundsätze des geringsten Zugriffs auf Berechtigungen zu befolgen. In der folgenden Tabelle sind die fünf wichtigen integrierten Rollen für Foundry, eine kurze Beschreibung und der Link zur genauen Rollendefinition im Artikel "KI + Machine Learning" aufgeführt.
| Rolle | Description |
|---|---|
| Azure AI-Benutzer | Gewährt Leserechte auf Ihr Foundry-Projekt, seine Ressourcen und damit verbundene Datenoperationen. Wenn Sie Rollen zuweisen können, wird ihnen diese Rolle automatisch zugewiesen. Andernfalls gewährt Ihr Abonnementbesitzer oder ein Benutzer mit Rollenzuweisungsberechtigungen sie. Die Rolle mit dem geringsten privilegierten Zugriff in Foundry. |
| Azure AI-Projektmanager | Hiermit können Sie Verwaltungsaktionen für Foundry-Projekte ausführen, projekte erstellen und entwickeln und die Azure AI-Benutzerrolle bedingt anderen Benutzerprinzipalen zuweisen. |
| Azure AI-Kontobesitzer | Gewährt vollzugriff auf die Verwaltung von Projekten und Ressourcen und ermöglicht Ihnen die bedingte Zuweisung der Azure AI-Benutzerrolle zu anderen Benutzerprinzipalen. |
| Azure AI-Besitzer | Gewährt vollzugriff auf verwaltete Projekte und Ressourcen, und erstellt und entwickelt mit Projekten. Hoch privilegierte Selbstverwaltungsrolle, die speziell für digitale Natives entwickelt wurde. |
Berechtigungen für jede integrierte Rolle
Verwenden Sie die folgende Tabelle und das folgende Diagramm, um die für jede integrierte Rolle in Foundry zulässigen Berechtigungen anzuzeigen, einschließlich der wichtigsten integrierten Azure-Rollen.
| Integrierte Rolle | Erstellen von Foundry-Projekten | Erstellen von Foundry-Konten | Erstellen und Entwickeln in einem Projekt (Datenaktionen) | Vollständige Rollenzuweisungen | Lesezugriff auf Projekte und Konten | Verwalten von Modellen |
|---|---|---|---|---|---|---|
| Azure AI-Benutzer | ✔ | ✔ | ||||
| Azure AI-Projektmanager | ✔ | ✔ | ✔ (nur Azure KI-Benutzerrolle zuweisen) | ✔ | ||
| Azure AI-Kontobesitzer | ✔ | ✔ | ✔ (nur Azure KI-Benutzerrolle zuweisen) | ✔ | ✔ | |
| Azure AI-Besitzer | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (Jedem Benutzer eine beliebige Rolle zuweisen) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Weitere Informationen zu integrierten Rollen in Azure und Foundry finden Sie in den integrierten Azure-Rollen. Weitere Informationen zur bedingten Delegierung, die in der Azure AI-Kontobesitzer- und Azure AI-Projektmanagerrolle verwendet wird, finden Sie unter Delegieren der Azure-Rollenzuweisungsverwaltung für andere Benutzer mit Bedingungen.
Beispiel für das Enterprise RBAC-Setup für Projekte
Hier ist ein Beispiel für die Implementierung der rollenbasierten Zugriffssteuerung (RBAC) für eine Enterprise Foundry-Ressource.
| Persona | Rolle und Bereich | Zweck |
|---|---|---|
| IT-Administrator | Besitzer im Bereich des Abonnements | Der IT-Administrator stellt sicher, dass die Foundry-Ressource Enterprise-Standards erfüllt. Weisen Sie Managern die Rolle " Azure AI-Kontobesitzer " für die Ressource zu, damit sie neue Foundry-Konten erstellen können. Weisen Sie Managern die Azure KI-Projektmanagerrolle für die Ressource zu, damit sie Projekte innerhalb eines Kontos erstellen können. |
| Managers | Azure AI-Kontoinhaber im Ressourcenbereich Foundry | Manager verwalten die Foundry-Ressource, stellen Modelle bereit, überwachen Computeressourcen, überwachen Verbindungen und erstellen freigegebene Verbindungen. Sie können nicht in Projekten erstellen, aber sie können die Azure KI-Benutzerrolle sich selbst und anderen zuweisen, um mit dem Erstellen zu beginnen. |
| Teamleiter oder leitende Entwickler | Azure AI-Projektleiter im Bereich der Foundry-Ressourcen | Leitende Entwickler erstellen Projekte für ihr Team und beginnen mit der Erstellung in diesen Projekten. Nachdem Sie ein Projekt erstellt haben, laden Projektbesitzer andere Mitglieder ein und weisen ihnen die Azure AI-Benutzerrolle zu. |
| Teammitglieder oder Entwickler | Azure AI Benutzer auf dem Foundry-Projektbereich und Leser auf dem Foundry-Ressourcenbereich | Entwickler erstellen Agents in einem Projekt mit vorinstallierten Foundry-Modellen und vordefinierten Verbindungen. |
Rollen verwalten
Um Rollen in Foundry zu verwalten, müssen Sie über die Berechtigung zum Zuweisen und Entfernen von Rollen in Azure verfügen. Die wichtige integrierte Azure-Rolle des Besitzers umfasst die erforderliche Berechtigung. Sie können Rollen über das Foundry-Portal (Administratorseite), Azure-Portal IAM oder Azure CLI zuweisen. Um Rollen zu entfernen, können Sie nur das Azure-Portal IAM oder azure CLI verwenden.
Verwalten Sie im Gießereiportal Die Berechtigungen wie folgt:
- Wählen Sie auf der Startseite in Foundry Ihre Foundry-Ressource aus.
- Wählen Sie Benutzer aus, um Benutzer zur Ressource hinzuzufügen oder sie aus ihr zu entfernen.
Verwalten Sie im Gießereiportal Die Berechtigungen wie folgt:
- Wählen Sie auf der Admin-Seite in Foundry die Option Operieren und dann Admin im linken Navigationsbereich aus.
- Wählen Sie ihren Projektnamen in der Tabelle aus.
- Wählen Sie oben rechts " Benutzer hinzufügen" aus. Diese Schaltfläche kann nur geklickt werden, wenn Sie über Berechtigungen zum Zuweisen von Rollen verfügen.
- Fügen Sie Ihren Benutzer zum Foundry-Projekt hinzu. Die gleichen Anweisungen gelten für Ihre Foundry-Ressource.
Sie können Berechtigungen im Azure-Portal unter Access Control (IAM) oder mit Azure CLI verwalten.
Zum Beispiel weist der folgende Befehl die Rolle Azure AI Benutzer joe@contoso.com für die Ressourcengruppe this-rg im Abonnement mit der ID 00000000-0000-0000-0000-000000000000 zu:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Erstellen benutzerdefinierter Rollen für Projekte
Wenn die integrierten Rollen ihre Unternehmensanforderungen nicht erfüllen, erstellen Sie eine benutzerdefinierte Rolle, die eine präzise Kontrolle über zulässige Aktionen und Bereiche ermöglicht. Hier ist ein Beispiel für eine benutzerdefinierte Rollendefinition auf Abonnementebene:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Weitere Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie in den folgenden Artikeln.
- Azure-Portal
- Azure CLI
- Azure PowerShell
- Deaktivieren Sie Vorschaufeatures mit Role-Based Access. Dieser Artikel enthält weitere Details zu spezifischen Berechtigungen in Foundry über steuerungs- und Datenebene hinweg, die Sie beim Erstellen benutzerdefinierter Rollen verwenden können.
Hinweise und Einschränkungen
- Um gelöschte Foundry-Konten anzuzeigen und zu bereinigen, muss Ihnen im Bereich des Abonnements die Rolle Mitwirkender zugewiesen sein.
- Benutzer mit der Rolle "Mitwirkender" können Modelle in Foundry bereitstellen.
- Sie benötigen die Rolle "Besitzer" im Bereich einer Ressource, um benutzerdefinierte Rollen in der Ressource zu erstellen.
- Wenn Sie über berechtigungen zum Zuweisen der Rolle in Azure verfügen (z. B. die Rolle "Besitzer", die dem Kontobereich zugewiesen ist) ihrem Benutzerprinzipal, und Sie stellen eine Foundry-Ressource aus dem Azure-Portal oder der Benutzeroberfläche des Foundry-Portals bereit, wird die Azure AI-Benutzerrolle ihrem Benutzerprinzipal automatisch zugewiesen. Diese Zuweisung gilt nicht bei der Bereitstellung von Foundry aus SDK oder CLI.
- Wenn Sie eine Foundry-Ressource erstellen, gewähren Ihnen die integrierten rollenbasierten Zugriffssteuerungsberechtigungen (RBAC) Zugriff auf die Ressource. Um Ressourcen zu verwenden, die außerhalb von Foundry erstellt wurden, stellen Sie sicher, dass die Ressource über Berechtigungen verfügt, mit denen Sie darauf zugreifen können. Im Folgenden finden Sie einige Beispiele:
- Um ein neues Azure Blob Storage-Konto zu verwenden, fügen Sie die verwaltete Identität der Ressource des Foundry-Kontos der Rolle Storage Blob Data-Leser auf diesem Storage-Konto hinzu.
- Um eine neue Azure AI Search-Quelle zu verwenden, fügen Sie "Foundry" zu den Azure AI Search-Rollenzuweisungen hinzu.
Verwandte Inhalte
Anhang
Beispiele für Zugriffsisolation
Je nach Benutzerpersonas in ihrem Unternehmen kann jede Organisation unterschiedliche Zugriffsisolationsanforderungen haben. Die Zugriffsisolation bezieht sich darauf, welchen Benutzern in Ihrem Unternehmen welche Rollen für eine Trennung von Berechtigungen mithilfe unserer integrierten Rollen oder einer einheitlichen, sehr freizügigen Rolle zugewiesen werden. Es gibt drei Zugriffsisolationsoptionen für Foundry, die Sie je nach Ihren Zugriffsisolationsanforderungen für Ihre Organisation auswählen können.
Keine Zugriffsisolation. Dies bedeutet, dass Sie in Ihrem Unternehmen keine Anforderungen haben, die Berechtigungen zwischen Entwicklern, Projektmanagern oder Administratoren trennen. Die Berechtigungen für diese Rollen können teamsübergreifend zugewiesen werden.
Daher sollten Sie...
- Gewähren Sie allen Benutzern in Ihrem Unternehmen die Azure AI-Besitzerrolle auf der Ressourcenebene
Partielle Zugriffsisolation. Dies bedeutet, dass der Projektmanager in Ihrem Unternehmen in der Lage sein sollte, innerhalb von Projekten zu entwickeln und Projekte zu erstellen. Ihre Administratoren sollten jedoch nicht in der Lage sein, innerhalb von Foundry zu entwickeln, sondern nur Foundry-Projekte und -Konten zu erstellen.
Daher sollten Sie...
- Erteilen Sie Ihrem Admin die Rolle Kontobesitzer von Azure AI auf dem Bereich der Ressourcen
- Gewähren Sie Ihren Entwicklern und Projektmanagern die Rolle Azure AI Project Manager für die Ressource.
Vollständige Zugriffsisolation. Dies bedeutet, dass Ihren Administratoren, Projektmanagern und Entwicklern klare Berechtigungen zugewiesen sind, die sich nicht für ihre verschiedenen Funktionen innerhalb eines Unternehmens überlappen.
Daher sollten Sie...
- Gewähren Sie Ihrem Administrator im Ressourcenumfang die Rolle des Azure AI-Kontobesitzers.
- Gewähren Sie Ihrem Entwickler die Rolle "Reader " im Ressourcenbereich "Foundry" und "Azure AI User " im Projektbereich.
- Gewähren Sie Ihrem Projektmanager die Azure AI-Projektmanagerrolle im Ressourcenbereich.
Microsoft Entra-Gruppen mit Foundry verwenden
Die Microsoft Entra-ID bietet verschiedene Möglichkeiten, den Zugriff auf Ressourcen, Anwendungen und Aufgaben zu verwalten. Mithilfe von Microsoft Entra-Gruppen können Sie einer Gruppe von Benutzern statt jedem einzelnen Benutzer Zugriff und Berechtigungen erteilen. IT-Administratoren von Unternehmen können Microsoft Entra-Gruppen im Azure-Portal erstellen, um den Rollenzuweisungsprozess für Entwickler zu vereinfachen. Wenn Sie eine Microsoft Entra-Gruppe erstellen, können Sie die Anzahl der Rollenzuweisungen minimieren, die für neue Entwickler erforderlich sind, die an Foundry-Projekten arbeiten, indem Sie der Gruppe die erforderliche Rollenzuweisung für die erforderliche Ressource zuweisen.
Führen Sie die folgenden Schritte aus, um Entra-ID-Gruppen mit Foundry zu verwenden:
Wechseln Sie im Azure-Portal zu "Gruppen".
Erstellen Sie eine neue Sicherheitsgruppe im Gruppenportal.
Weisen Sie den Besitzer der Microsoft Entra-Gruppe zu und fügen Sie einzelne Benutzer-Prinzipale in Ihrer Organisation als Mitglieder zu dieser Gruppe hinzu. Speichern Sie die Gruppe.
Wechseln Sie zu der Ressource, für die eine Rollenzuweisung erforderlich ist.
- Beispiel: Um Agents zu erstellen, Traces auszuführen und mehr in Foundry, muss Ihrem Benutzer-Prinzipal die Rolle ‚Azure AI Benutzer‘ mit dem Mindestprivileg zugewiesen werden. Weisen Sie Ihrer neuen Microsoft Entra-Gruppe die Rolle "Azure AI-Benutzer" zu, damit alle Benutzer in Ihrem Unternehmen in Foundry erstellen können.
- Beispiel: Um Tracing- und Monitoring-Funktionen in Microsoft Foundry zu nutzen, ist eine ‚Leser‘-Rollenzuweisung auf der verbundenen Application Insights Ressource erforderlich. Weisen Sie die Rolle ‚Leser‘ Ihrer neuen Microsoft Entra-Gruppe zu, damit alle Benutzenden in Ihrem Unternehmen die Funktion Tracing und Monitoring nutzen können.
Wechseln Sie zu Access Control (IAM).
Wählen Sie die rolle aus, die zugewiesen werden soll.
Weisen Sie Zugriff einem "Benutzer-, einer Gruppe oder einem Dienstprinzipalnamen" zu und wählen Sie die neue Sicherheitsgruppe aus.
Überprüfen Sie Ihre Auswahl, und bestätigen Sie die Zuweisung. Die Rollenzuweisung gilt jetzt für alle Benutzer-Prinzipale, die der Gruppe zugewiesen sind.
Weitere Informationen zu Entra-ID-Gruppen, Voraussetzungen und Einschränkungen finden Sie unter: