Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Dieses Feature ist zurzeit als öffentliche Preview verfügbar. Diese Vorschauversion wird ohne Vereinbarung zum Servicelevel (SLA) bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Manche Features werden möglicherweise nicht unterstützt oder sind nur eingeschränkt verwendbar. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.
Zur Abfragezeit erzwingt Azure KI Suche Richtlinien für Vertraulichkeitsbezeichnungen, die in Microsoft Purview definiert sind. Diese Richtlinien umfassen die Auswertung von READ-Nutzungsrechten , die an jedes Dokument gebunden sind. Daher können Benutzer nur Dokumente abrufen, die sie anzeigen dürfen.
Diese Funktion erweitert die Zugriffssteuerung auf Dokumentebene , um die in Microsoft Purview verwalteten Anforderungen an den Informationsschutz und die Compliance-Anforderungen Ihrer Organisation anzupassen.
Wenn die Indizierung von Purview-Vertraulichkeitsbezeichnungen aktiviert ist, überprüft Azure AI Search die Bezeichnungsmetadaten jedes Dokuments während der Abfrage. Es wendet Zugriffsfilter basierend auf Purview-Richtlinien an, um nur Ergebnisse zurückzugeben, auf die der anfordernde Benutzer zugreifen darf.
In diesem Artikel wird erläutert, wie die Erzwingung von Vertraulichkeitsbezeichnungen während der Abfrage funktioniert und wie sichere Suchabfragen durchgeführt werden.
Voraussetzungen
Bevor Sie einen mit Vertraulichkeitsbezeichnungen aktivierten Index abfragen können, müssen die folgenden Bedingungen erfüllt sein:
Sie müssen alle Schritte für Indexer der Azure KI-Suche befolgen, damit Microsoft Purview-Vertraulichkeitsbezeichnungen erfasst werden.
Sowohl der Azure AI Search-Dienst als auch der Benutzer, der die Abfrage ausgibt, muss zum gleichen Microsoft Entra-Mandanten gehören.
Die neueste Vorschau-API Version 2025-11-01-Preview oder ein kompatibles Beta-SDK muss verwendet werden, um den Index abzufragen.
Abfragen müssen mithilfe der rollenbasierten Zugriffssteuerung (Azure Role-Based Access Control, RBAC) und nicht mit API-Schlüsseln authentifiziert werden. Der API-Schlüsselzugriff ist nur dann auf den Indexschemaabruf beschränkt, wenn die Funktionalität von Purview-Vertraulichkeitsbezeichnungen aktiviert ist.
Einschränkungen
- Microsoft Entra Guest-Benutzer und mandantenübergreifende Abfragen werden nicht unterstützt.
- AutoVervollständigen- und Vorschlags-APIs werden für purview-fähige Indizes nicht unterstützt.
- Wenn die Bezeichnungsauswertung fehlschlägt (z. B. purview-APIs sind vorübergehend nicht verfügbar), gibt der Dienst 5xx zurück und gibt kein partielles oder ungefiltertes Resultset zurück.
- ACL-basierte Sicherheitsfilter werden zurzeit nicht zusammen mit vertraulichkeitsbezeichnungsfunktionen unterstützt. Aktivieren Sie nicht beide gleichzeitig. Sobald die kombinierte Nutzung unterstützt wird, wird sie entsprechend dokumentiert.
- Das System wertet Bezeichnungen nur so aus, wie sie zum Zeitpunkt der letzten Ausführung des Indexers vorhanden sind. Aktuelle Bezeichnungsänderungen werden möglicherweise erst nach der nächsten geplanten Neuindizierung berücksichtigt.
So funktioniert die Erzwingung von Vertraulichkeitsbezeichnungen zur Abfragezeit
Wenn Sie einen Index abfragen, der Vertraulichkeitsbezeichnungen von Microsoft Purview enthält, überprüft Azure AI Search die zugehörigen Purview-Richtlinien, bevor Ergebnisse zurückgegeben werden. Auf diese Weise gibt die Abfrage nur Dokumente zurück, auf die das Benutzertoken zugreifen darf.
1. Eingabe von Benutzeridentitäts- und Anwendungsrollen
Zur Abfragezeit überprüft Azure AI Search beide:
- Die RBAC-Rolle der aufrufenden Anwendung, die im
AuthorizationHeader zur Verfügung gestellt wird. - Die Benutzeridentität über das Token, das im
x-ms-query-source-authorizationHeader übermittelt wird.
Beide sind erforderlich, um die bezeichnungsbasierte Sichtbarkeit zu autorisieren.
| Eingabetyp | Description | Beispielquelle |
|---|---|---|
| Anwendungsrolle | Bestimmt, ob die aufrufende App über die Berechtigung zum Ausführen von Abfragen für den Index verfügt. | Authorization: Bearer <app-token> |
| Benutzeridentität | Bestimmt, auf welche Vertraulichkeitsbezeichnungen der Endbenutzer zugreifen darf. | x-ms-query-source-authorization: Bearer <user-token> |
Bewertung von Sensitivitätskennzeichnungen
Wenn eine Abfrageanforderung empfangen wird, wertet Azure AI Search Folgendes aus:
- Das SensitivityLabel-Feld in jedem indizierten Dokument (extrahiert aus Microsoft Purview während des Ingestionsprozesses).
- Die effektiven Purview-Berechtigungen des Benutzers, wie durch die Microsoft Entra-ID und die Purview-Bezeichnungsrichtlinie definiert.
Wenn der Benutzer nicht für die Vertraulichkeitsbezeichnung eines Dokuments mit Extraktberechtigungen autorisiert ist, wird dieses Dokument von den Abfrageergebnissen ausgeschlossen.
Hinweis
Intern erstellt der Dienst dynamische Zugriffsfilter ähnlich der RBAC-Erzwingung.
Diese Filter sind nicht vom Benutzer sichtbar und können nicht in der Abfragenutzlast geändert werden.
3. Sichere Ergebnisfilterung
Azure AI Search wendet den Sicherheitsfilter nach allen benutzerdefinierten Filtern und Bewertungsschritten an.
Ein Dokument ist nur dann im endgültigen Resultset enthalten, wenn:
- Die aufrufende Anwendung verfügt über eine gültige Rollenzuweisung (über RBAC) und
- Das dargestellte
x-ms-query-source-authorizationBenutzeridentitätstoken ist gültig und erlaubt, Inhalte mit der Vertraulichkeitsbezeichnung des Dokuments anzuzeigen.
Wenn eine der Bedingungen fehlschlägt, wird das Dokument aus den Ergebnissen weggelassen.
Abfragebeispiel
Hier ist ein Beispiel für eine Abfrageanforderung mit Microsoft Purview-Vertraulichkeitsbezeichnungserzwingung.
Das Abfragetoken wird in den Anforderungsheadern übergeben. Beide Header müssen gültige Bearertoken enthalten, die die Anwendung und den Endbenutzer darstellen.
POST {{endpoint}}/indexes/sensitivity-docs/docs/search?api-version=2025-11-01-preview
Authorization: Bearer {{app-query-token}}
x-ms-query-source-authorization: Bearer {{user-query-token}}
Content-Type: application/json
{
"search": "*",
"select": "title,summary,sensitivityLabel",
"orderby": "title asc"
}
Verarbeitung von Vertraulichkeitsbezeichnungen in Azure KI Suche
Wenn Azure AI Search Dokumentinhalte mit Vertraulichkeitsbezeichnungen aus Quellen wie SharePoint, Azure Blob und anderen indiziert, werden sowohl der Inhalt als auch die Bezeichnungsmetadaten gespeichert. Die Suchabfrage gibt indizierte Inhalte zusammen mit der GUID zurück, die die Vertraulichkeitsbezeichnung identifiziert, die auf das Dokument angewendet wird, vorausgesetzt, der Benutzer hat READ-Zugriff auf dieses Dokument. Diese GUID identifiziert die Bezeichnung eindeutig, enthält aber keine lesbaren Eigenschaften wie den Bezeichnungsnamen oder die zugehörigen Berechtigungen.
Beachten Sie, dass die GUID allein für Szenarien, die die Benutzeroberfläche enthalten, nicht ausreicht, da Vertraulichkeitsbezeichnungen häufig andere Richtliniensteuerelemente enthalten, die von Microsoft Purview Information Protection erzwungen werden, z. B.: Druckberechtigungen oder Screenshot- und Bildschirmaufnahmeeinschränkungen. Azure AI Search zeigt diese Funktionen nicht an.
Um Bezeichnungsnamen anzuzeigen und/oder benutzeroberflächenspezifische Einschränkungen zu erzwingen, muss Ihre Anwendung den Microsoft Purview Information Protection-Endpunkt aufrufen, um vollständige Bezeichnungsmetadaten und zugehörige Berechtigungen abzurufen.
Sie können die von Azure AI Search zurückgegebene GUID verwenden, um die Bezeichnungseigenschaften aufzulösen und die Purview-Bezeichnungs-APIs aufzurufen, um den Bezeichnungsnamen, die Beschreibung und die Richtlinieneinstellungen abzurufen. Dieses End-to-End-Demobeispiel enthält Code, der zeigt, wie der Endpunkt über eine Benutzeroberfläche aufgerufen wird. Außerdem wird veranschaulicht, wie Sie den Bezeichnungsnamen extrahieren und als Teil der Zitate verfügbar machen, die in Ihren RAG-Anwendungen oder -Agents verwendet werden.