Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure AI Search unterstützt die Zugriffssteuerung auf Dokumentebene, sodass Organisationen differenzierte Berechtigungen auf Dokumentebene von der Datenaufnahme über die Abfrageausführung erzwingen können. Diese Funktion ist für die Erstellung sicherer Groundingdaten von KI-Agentsystemen, Retrieval-Augmented Generation (RAG)-Anwendungen und Unternehmenssuchlösungen erstellen, die Autorisierungsprüfungen auf Dokumentebene erfordern.
Ansätze für die Zugriffssteuerung auf Dokumentebene
| Vorgehensweise | BESCHREIBUNG |
|---|---|
| Sicherheitsfilter | Zeichenfolgenvergleich. Ihre Anwendung übergibt eine Benutzer- oder Gruppenidentität als Zeichenfolge, die einen Filter für eine Abfrage auffüllt, wobei alle Dokumente ausgeschlossen werden, die nicht mit der Zeichenfolge übereinstimmen. Sicherheitsfilter sind eine Technik zum Erreichen der Zugriffssteuerung auf Dokumentebene. Dieser Ansatz ist nicht an eine API gebunden, sodass Sie eine beliebige Version oder ein beliebiges Paket verwenden können. |
| POSIX-ähnliche ACL/ RBAC-Bereiche (Vorschau) | Der Sicherheitsprinzipal von Microsoft Entra, der hinter dem Abfragetoken steht, wird mit den Berechtigungsmetadaten der in den Suchergebnissen zurückgegebenen Dokumente verglichen, wobei Dokumente ausgeschlossen werden, die nicht mit den Berechtigungen übereinstimmen. Zugriffssteuerungslisten (Access Control Lists, ACL)-Berechtigungen gelten für Azure Data Lake Storage (ADLS) Gen2-Verzeichnisse und -Dateien. Rollenbasierte Zugriffssteuerungsbereiche (RBAC) gelten für ADLS Gen2-Inhalte und Azure-Blobs. Die integrierte Unterstützung für identitätsbasierten Zugriff auf Dokumentebene befindet sich in der Vorschau, und ist in REST-APIs und Vorschau von Azure SDK-Paketen verfügbar, die das Feature bereitstellen. Überprüfen Sie unbedingt das SDK-Paketänderungsprotokoll , um Nachweise für die Featureunterstützung zu erhalten. |
| Microsoft Purview-Vertraulichkeitsbezeichnungen (Vorschau) | Indexer extrahiert Vertraulichkeitsbezeichnungen, die in Microsoft Purview definiert sind, aus unterstützten Datenquellen (Azure Blob Storage, ADLS Gen2, SharePoint in Microsoft 365, OneLake). Diese Bezeichnungen werden als Metadaten gespeichert und zur Abfragezeit ausgewertet, um den Benutzerzugriff basierend auf Microsoft Entra-Token und Purview-Richtlinienzuweisungen zu erzwingen. Dieser Ansatz richtet die Azure AI Search-Autorisierung an das Microsoft Information Protection-Modell Ihres Unternehmens aus. |
| SharePoint in Microsoft 365 ACLs (Vorschau) | Nach der Konfiguration extrahieren Azure KI-Suche-Indexer bei der ersten Erfassung SharePoint-Dokumentberechtigungen direkt aus Microsoft 365-ACLs. Zugriffsprüfungen verwenden Microsoft Entra-Benutzer- und Gruppenmitgliedschaften. Unterstützte Gruppentypen umfassen Microsoft Entra-Sicherheitsgruppen, Microsoft 365-Gruppen und E-Mail-aktivierte Sicherheitsgruppen. SharePoint-Gruppen werden in der Vorschau noch nicht unterstützt. |
Muster für die Sicherheitskürzung mithilfe von Filtern
Für Szenarien, in denen die systemeigene ACL/RBAC-Integration nicht praktikabel ist, empfehlen wir Filter für Sicherheitszeichenfolgen, um Ergebnisse basierend auf Ausschlusskriterien einzuschränken. Das Muster enthält die folgenden Komponenten:
- Um Benutzer- oder Gruppenidentitäten zu speichern, erstellen Sie ein Zeichenfolgenfeld im Index.
- Laden Sie den Index mithilfe von Quelldokumenten, die zugeordnete ACLs enthalten.
- Fügen Sie einen Filterausdruck in Ihre Abfragelogik ein, um auf die Zeichenfolge abzugleichen.
- Rufen Sie zur Abfragezeit die Identität des Aufrufers ab.
- Übergeben Sie die Identität des Aufrufers als Filterzeichenfolge.
- Die Ergebnisse werden gekürzt, um Übereinstimmungen auszuschließen, die die Benutzer- oder Gruppenidentitätszeichenfolge nicht umfassen.
Sie können Push- oder Pullmodell-APIs verwenden. Da dieser Ansatz API-agnostisch ist, müssen Sie nur sicherstellen, dass der Index und die Abfrage gültige Zeichenfolgen (Identitäten) für den Filterschritt haben.
Dieser Ansatz ist nützlich für Systeme mit benutzerdefinierten Zugriffsmodellen oder nicht von Microsoft stammenden Sicherheitsframeworks. Weitere Informationen zu diesem Ansatz finden Sie unter Sicherheitsfilter zum Kürzen von Ergebnissen in Azure AI Search.
Muster für systemeigene Unterstützung für POSIX-ähnliche ACL- und RBAC-Bereichsberechtigungen (Vorschau)
Die native Unterstützung basiert auf Microsoft Entra-Benutzern und -Gruppen, die mit Dokumenten verbunden sind, die Sie indizieren und abfragen möchten.
Azure Data Lake Storage (ADLS) Gen2-Container unterstützen ACLs für den Container und dateien. Für ADLS Gen2 wird die Erhaltung des RBAC-Bereichs auf Dokumentebene nativ unterstützt, wenn Sie einen ADLS Gen2-Indexer oder eine BLOB-Wissensquelle (unterstützt ADLS Gen2) und eine Vorschau-API zum Aufnehmen von Inhalten verwenden. Für Azure-Blobs, die den Azure-Blob-Indexer oder die Wissensquelle verwenden, befindet sich die RBAC-Bereichserhaltung auf Containerebene.
Für ACL-gesicherte Inhalte empfehlen wir den Gruppenzugriff über den einzelnen Benutzerzugriff, um die Verwaltung zu erleichtern. Das Muster enthält die folgenden Komponenten:
- Beginnen Sie mit Dokumenten oder Dateien mit ACL-Zuweisungen.
- Aktivieren Sie Berechtigungsfilter im Index.
- Fügen Sie einem Zeichenfolgenfeld in einem Index einen Berechtigungsfilter hinzu.
- Laden Sie den Index mit Quelldokumenten mit zugeordneten ACLs.
- Fragen Sie den Index ab, und fügen Sie
x-ms-query-source-authorizationzum Anforderungsheader hinzu.
Ihre Client-App erhält Leseberechtigungen für den Index entweder durch die Rolle "Indexdatenleser" oder durch die Rolle "Indexdatenmitwirkender". Der Zugriff zur Abfragezeit wird durch Benutzer- oder Gruppenberechtigungsmetadaten im indizierten Inhalt bestimmt. Abfragen, die einen Berechtigungsfilter enthalten, übergeben ein Benutzer- oder Gruppentoken wie x-ms-query-source-authorization im Anforderungsheader. Wenn Sie Berechtigungsfilter zur Abfragezeit verwenden, sucht Azure AI Search nach zwei Dingen:
Zunächst wird die Berechtigung „Suchindex-Datenleser“ überprüft, die Ihrer Clientanwendung den Zugriff auf den Index ermöglicht.
Zweitens, unter Berücksichtigung des zusätzlichen Tokens der Anforderung, überprüft es Benutzer- oder Gruppenberechtigungen für Dokumente, die in Suchergebnissen zurückgegeben werden, wobei alle ausgeschlossen werden, die nicht übereinstimmen.
Um Berechtigungsmetadaten in den Index zu übertragen, können Sie die Pushmodell-API verwenden und alle JSON-Dokumente an den Suchindex übertragen, wobei die Nutzlast ein Zeichenfolgenfeld enthält, das POSIX-ähnliche ACLs für jedes Dokument bereitstellt. Der wichtige Unterschied zwischen diesem Ansatz und der Sicherheitskürzung besteht darin, dass die Berechtigungsfiltermetadaten im Index und der Abfrage als Microsoft Entra ID-Authentifizierung erkannt werden, während die Problemumgehung zur Sicherheitskürzung ein einfacher Zeichenfolgenvergleich ist. Außerdem können Sie das Graph SDK verwenden, um die Identitäten abzurufen.
Sie können auch die Pullmodell-APIs (Indexer) verwenden, wenn die Datenquelle Azure Data Lake Storage (ADLS) Gen2 ist und Ihr Code eine Vorschau-API für die Indizierung aufruft.
Abrufen von ACL-Berechtigungsmetadaten während des Datenaufnahmeprozesses (Vorschau)
Wie Sie ACL-Berechtigungen abrufen, hängt davon ab, ob Sie eine Dokumentnutzlast übertragen oder den ADLS Gen2-Indexer verwenden.
Beginnen Sie mit einer Vorschau-API, die das Feature bereitstellt:
- 2025-11-01-preview REST API
- Azure SDK für Python Prerelease-Paket
- Azure SDK für .NET Prerelease-Paket
- Azure SDK für Java Prerelease-Paket
Für den Pushmodellansatz:
- Stellen Sie sicher, dass Ihr Indexschema auch mit einem Vorschau- oder Vorabversions-SDK erstellt wird und dass das Schema Über Berechtigungsfilter verfügt.
- Erwägen Sie die Verwendung des Microsoft Graph SDK zum Abrufen von Gruppen- oder Benutzeridentitäten.
- Verwenden Sie die Indexdokumente oder die entsprechende Azure SDK-API, um Dokumente und die zugehörigen Berechtigungsmetadaten in den Suchindex zu übertragen.
Für das Pull-Modell ADLS Gen2 Indexer-Ansatz oder die ADLS Gen2-Wissensquelle:
- Stellen Sie sicher, dass Dateien im Verzeichnis mithilfe des ADLS Gen2-Zugriffssteuerungsmodells gesichert sind.
- Verwenden Sie die Rest-API "Indexer erstellen " oder " Knowledge Source REST-API erstellen " oder eine entsprechende Azure SDK-API, um den Indexer, den Index und die Datenquelle zu erstellen.
Muster für die Erfassung grundlegender ACL-Berechtigungen für SharePoint in Microsoft 365 (Vorschau)
Für SharePoint in Microsoft 365-Inhalten kann Azure AI Search Berechtigungen auf Dokumentebene basierend auf SharePoint-ACLs anwenden. Diese Integration fördert, dass nur Benutzer oder Gruppen mit Zugriff auf das Quelldokument in SharePoint sie in Suchergebnissen abrufen können, sobald die Berechtigungen im Index synchronisiert werden. Berechtigungen werden während der ersten Dokumenterfassung auf den Index angewendet.
Die SharePoint-ACL-Unterstützung ist in der Vorschau über den SharePoint-Indexer mit der REST-API 2025-11-01-Preview oder dem unterstützten SDK verfügbar. Der Indexer extrahiert Datei- und Listenelementberechtigungsmetadaten und behält sie im Suchindex bei, wo er zum Erzwingen der Zugriffssteuerung zur Abfragezeit verwendet wird.
Das Muster enthält die folgenden Komponenten:
- Verwenden Sie den SharePoint in Microsoft 365-Indexer mit Anwendungsberechtigungen, um SharePoint-Websiteinhalte und vollständige Berechtigungen zum Lesen von ACLs zu lesen. Befolgen Sie die SharePoint-Indexer-ACL-Einrichtungsanweisungen zur Aktivierung und Begrenzungen.
- Während der anfänglichen Indizierung werden SharePoint-ACL-Einträge (Benutzer und Gruppen) als Berechtigungsmetadaten im Suchindex gespeichert.
- Informationen zur inkrementellen Indizierung von ACLs finden Sie in den während der öffentlichen Vorschau verfügbaren Mechanismen zur Neusynchronisierung von SharePoint-ACLs.
- Zur Zeit der Abfrage überprüft Azure AI Search den Microsoft Entra Principal im Abfragetoken gegen die im Index gespeicherten SharePoint-ACL-Metadaten. Es schließt alle Dokumente aus, auf die der Anrufer nicht zugreifen darf.
Während der Vorschau werden nur die folgenden Prinzipaltypen in SharePoint-ACLs unterstützt:
- Microsoft Entra-Benutzerkonten
- Microsoft Entra-Sicherheitsgruppen
- Microsoft 365-Gruppen
- Sicherheitsgruppen mit E-Mail-Unterstützung
SharePoint-Gruppen werden in der Vorschauversion nicht unterstützt.
Informationen zu Konfigurationsdetails und vollständigen Einschränkungen finden Sie unter "Indizieren von SharePoint in Microsoft 365-Berechtigungen auf Dokumentebene (Vorschau)".
Muster für Microsoft Purview-Vertraulichkeitslabel (Vorschau)
Azure AI Search kann Microsoft Purview-Vertraulichkeitsbezeichnungen für die Zugriffssteuerung auf Dokumentebene erfassen und erzwingen, wodurch Informationsschutzrichtlinien von Microsoft Purview in Ihre Such- und Abrufanwendungen erweitert werden.
Wenn die Etikettenerfassung aktiviert ist, extrahiert Azure AI Search Sensitivitätsmetadaten aus unterstützten Datenquellen. Dazu gehören Azure Blob Storage, Azure Data Lake Storage Gen2 (ADLS Gen2), SharePoint in Microsoft 365 und Microsoft OneLake. Die extrahierten Bezeichnungen werden zusammen mit Dokumentinhalten im Index gespeichert.
Zur Abfragezeit überprüft Azure AI Search die Vertraulichkeitsbezeichnung jedes Dokuments, das Microsoft Entra-Token des Benutzers und die Purview-Richtlinien der Organisation, um den Zugriff zu bestimmen. Dokumente werden nur dann zurückgegeben, wenn die Identitäts- und labelbasierten Berechtigungen des Benutzers den Zugriff gemäß den konfigurierten Purview-Richtlinien erlauben.
Das Muster enthält die folgenden Komponenten:
- Konfigurieren Sie Ihren Index, die Datenquelle und den Indexer (für Planungszwecke) mithilfe der REST-API 2025-11-01-Vorschau oder eines entsprechenden SDK, das die Aufnahme von Purview-Bezeichnungen unterstützt.
- Aktivieren Sie eine vom System zugewiesene verwaltete Identität für Ihren Suchdienst. Bitten Sie dann Ihren globalen Mandantenadministrator oder administrator mit privilegierter Rolle, den erforderlichen Zugriff zu gewähren, damit der Suchdienst sicher auf Microsoft Purview zugreifen und Bezeichnungsmetadaten extrahieren kann.
- Wenden Sie vor der Indizierung Vertraulichkeitsbezeichnungen auf Dokumente an, damit diese während der Erfassung erkannt und beibehalten werden können.
- Fügen Sie zur Abfragezeit ein gültiges Microsoft Entra-Token über den Header
x-ms-query-source-authorizationan jede Abfrageanforderung an. Azure AI Search wertet das Token und die zugehörigen Bezeichnungsmetadaten aus, um die bezeichnungsbasierte Zugriffssteuerung zu erzwingen.
Die Erzwingung von Purview-Vertraulichkeitsbezeichnungen ist auf Szenarien mit nur einem Mandanten beschränkt, erfordert eine RBAC-Authentifizierung und wird während der öffentlichen Vorschau nur über die REST-API oder das SDK unterstützt. AutoVervollständigen- und Vorschlags-APIs sind derzeit nicht für Purview-fähige Indizes verfügbar.
Weitere Informationen finden Sie unter Verwenden von Azure AI Search-Indexern zum Erfassen von Microsoft Purview-Vertraulichkeitsbezeichnungen.
Erzwingen von Berechtigungen auf Dokumentebene zur Abfragezeit
Mit der systemeigenen tokenbasierten Abfrage überprüft Azure AI Search das Microsoft Entra-Token eines Benutzers, wodurch Resultsets gekürzt werden, um nur Dokumente einzuschließen, auf die der Benutzer zugreifen darf.
Sie können die automatische Kürzung erzielen, indem Sie das Microsoft Entra-Token des Benutzers an Ihre Abfrageanforderung anfügen. Weitere Informationen finden Sie unter Abfragezeit-ACL- und RBAC-Erzwingung in Azure AI Search.
Vorteile der Zugriffssteuerung auf Dokumentebene
Die Zugriffssteuerung auf Dokumentebene ist für den Schutz vertraulicher Informationen in kisgesteuerten Anwendungen von entscheidender Bedeutung. Es hilft Organisationen, Systeme zu erstellen, die ihren Zugriffsrichtlinien entsprechen, wodurch das Risiko reduziert wird, nicht autorisierte oder vertrauliche Daten verfügbar zu machen. Durch die direkte Integration von Zugriffsregeln in die Suchpipeline können KI-Systeme Antworten bereitstellen, die in sicheren und autorisierten Informationen geerdet sind.
Durch das Auslagern der Berechtigungserzwingung an Azure AI Search können sich Entwickler auf die Erstellung qualitativ hochwertiger Abruf- und Bewertungssysteme konzentrieren. Dieser Ansatz trägt dazu bei, die Notwendigkeit zu reduzieren, geschachtelte Gruppen zu verarbeiten, benutzerdefinierte Filter zu schreiben oder Suchergebnisse manuell zu kürzen.
Berechtigungen auf Dokumentebene in Azure AI Search bieten ein strukturiertes Framework zum Erzwingen von Zugriffskontrollen, die den Organisationsrichtlinien entsprechen. Mithilfe von Microsoft Entra-basierten ACLs und RBAC-Rollen können Organisationen Systeme erstellen, die stabile Compliance unterstützen und die Vertrauensstellung zwischen Benutzern fördern. Diese integrierten Funktionen reduzieren den Bedarf an benutzerdefinierter Codierung und bieten einen standardisierten Ansatz für die Sicherheit auf Dokumentebene.
Lernprogramme und Beispiele
Sehen Sie sich die Zugriffssteuerung auf Dokumentebene in Azure AI Search mit weiteren Artikeln und Beispielen genauer an.
- Lernprogramm: Indizieren von ADLS Gen2-Berechtigungsmetadaten mithilfe eines Indexers
- azure-search-rest-samples/acl
- azure-search-python-samples/Quickstart-Document-Permissions-Push-API
- azure-search-python-samples/Quickstart-Document-Permissions-Pull-API
- Demo-App: Erfassen und Berücksichtigen von Vertraulichkeitsbezeichnungen
Verwandte Inhalte
- Indizieren von Berechtigungen auf Dokumentebene mithilfe der Push-API
- Indizieren von Berechtigungen auf Dokumentebene mithilfe des ADLS Gen2-Indexers
- Indizieren von Berechtigungen auf Dokumentebene mithilfe des SharePoint in Microsoft 365-Indexers
- Indizieren von Vertraulichkeitslabels mithilfe von Indexern
- Wie man mit tokenbasierten Microsoft Entra-Berechtigungen Abfragen durchführt