注
このドキュメントでは、 Microsoft Foundry (クラシック) ポータルを参照します。
🔄新しいポータルを使用している場合は、Microsoft Foundry (新しい) ドキュメントに切り替えます。
注
このドキュメントでは、 Microsoft Foundry (新しい) ポータルを参照します。
ヒント
ハブに重点を置いた代替 RBAC に関する記事があります。 Microsoft Foundry (ハブとプロジェクト) のロールベースのアクセス制御。
この記事では、Microsoft Foundry リソースのロールベースのアクセス制御 (RBAC) について説明します。 RBAC を使用して、新しいリソースの作成や既存のリソースの使用など、リソースへのアクセスを管理します。 リソースへのアクセスを許可するユーザー ロールを割り当てます。 この記事では、Microsoft Foundry の RBAC の詳細と、企業のロールの割り当てを最適に利用する方法について説明します。
この記事では、 Microsoft Foundry リソースへのアクセスを管理する方法について説明します。 ロールベースのアクセス制御 (RBAC) を使用して、新しいリソースの作成や既存のリソースの使用など、リソースへのアクセスを管理します。 リソースへのアクセスを許可するユーザー ロールを割り当てます。 この記事では、Microsoft Foundry の RBAC の詳細と、企業のロールの割り当てを最適に利用する方法について説明します。
Microsoft Foundry での認証と承認の詳細については、「 認証と承認」を参照してください。 この記事では、前の記事で説明した用語について説明します。
作業の開始
Azure と Microsoft Foundry の新規ユーザーの場合は、次のチェック リストを使用して、Foundry を開始するために、すべての正しいロールがユーザー プリンシパルとプロジェクトのマネージド ID に割り当てられていることを確認します。 1 つの Azure リソースに対するユーザーのアクセスを確認するガイドラインを使用して、ロールを確認できます。
- Foundry リソースの Azure AI ユーザー ロールを ユーザー プリンシパルに割り当てます。
- Foundry リソースの Azure AI ユーザー ロールを プロジェクトのマネージド ID に割り当てます。
プロジェクトを作成したユーザーが、サブスクリプションまたはリソース グループ スコープで割り当てられた Azure 所有者 ロールなどのロールを割り当てることができる場合、これらのロールの両方が自動的に割り当てられます。
ユーザー プリンシパルまたはプロジェクトのマネージド ID にロールを割り当てるには、次のセクションのガイドラインに従います。
ユーザー プリンシパルにロールを割り当てる
- Azure portal にサインインします。
- Foundry リソースに移動します。
- 左側のウィンドウで、[ アクセス制御 (IAM)] を選択します。
- [追加>][ロール割り当ての追加] の順に選択します。
- [ ロール] で、[ Azure AI ユーザー] を選択します。 [ メンバー] で、[ ユーザー、グループ、またはサービス プリンシパル ] を選択し、自分の名前または電子メールを検索し 、[選択] を選択します。
- 最後に、ロールを 確認して割り当てます 。
プロジェクトのマネージド ID にロールを割り当てる
- Azure portal にサインインします。
- Foundry プロジェクトに移動します。
- 左側のウィンドウで、[ アクセス制御 (IAM)] を選択します。
- [追加>][ロール割り当ての追加] の順に選択します。
- [ ロール] で、[ Azure AI ユーザー] を選択します。 [ メンバー] で [ マネージド ID] を 選択し、プロジェクトのマネージド ID を 選択し、[選択] を選択します。
- 最後に、ロールを 確認して割り当てます 。
詳細については、Microsoft Foundry でのロールベースのアクセス制御の詳細については、このドキュメントの残りの部分を参照してください。
Foundry でのロールベースのアクセス制御の用語
Microsoft Foundry のロールベースのアクセス制御を理解するには、企業に関する 2 つの質問を検討してください。
Microsoft Foundry でビルドするときにチームにどのようなアクセス許可を付与しますか?
どの範囲でチームにアクセス許可を割り当てたいですか?
これらの質問に答えるために、この記事全体で使用される用語の説明を次に示します。
- アクセス許可: コントロール プレーンとデータ プレーンの両方の読み取り、書き込み、削除、管理など、ID がリソースに対して実行できる許可または拒否されたアクション。 Foundry では、この概念には読み取り、書き込み、または削除のアクセス許可が含まれます。
- scope: ロールの割り当てが適用される Azure リソースのセット。 潜在的なスコープには、サブスクリプション、リソース グループ、Foundry リソース、または Foundry プロジェクトが含まれます。
- role: 特定のスコープで Azure リソースに対して実行できるアクションを定義するアクセス許可の名前付きコレクション。
これらの用語を相互に関連付けるために、Foundry リソースとプロジェクトを作成およびビルドするための特定のアクセス許可を持つロールが ID に割り当てられます。 エンタープライズ要件に応じて、特定の スコープ を割り当てます。
Microsoft Foundry では、ロールの割り当てを完了するときに 2 つのスコープを検討してください。
- Foundry リソース: Microsoft Foundry 環境の管理、セキュリティ、および監視の境界を定義する最上位レベルのスコープ。
- Foundry プロジェクト: Foundry リソース内のサブスコープ。Foundry API、ツール、および開発者ワークフローの作業を整理し、アクセス制御を適用するために使用されます。
組み込みのロール
Foundry の組み込みロール は、チーム メンバーに割り当てることができる一般的なアクセス シナリオに対応する Microsoft によって作成されたロールです。 Azure 全体で使用される主な組み込みロールには、所有者、共同作成者、閲覧者が含まれます。 これらのロールは、Foundry リソースのアクセス許可に固有ではありません。
Foundry リソースの場合は、追加の組み込みロールを使用して、最小限の特権アクセス原則に従います。 次の表に、Foundry の 5 つの主要な組み込みロール、簡単な説明、 AI + Machine Learning の組み込みロールに関する記事の正確なロール定義へのリンクを示します。
| Role | Description |
|---|---|
| Azure AI ユーザー | Foundry プロジェクト、Foundry リソース、および Foundry プロジェクトのデータ アクションへの閲覧者アクセスを許可します。 ロールを割り当てることができる場合、このロールは自動的に割り当てられます。 それ以外の場合は、サブスクリプション所有者またはロールの割り当てアクセス許可を持つユーザーが付与されます。 Foundry の最小特権アクセス役割。 |
| Azure AI Project Manager | Foundry プロジェクトに対して管理アクションを実行し、プロジェクトを使用してビルドおよび開発し、条件付きで Azure AI ユーザー ロールを他のユーザー プリンシパルに割り当てることができます。 |
| Azure AI アカウント所有者 | プロジェクトとリソースを管理するためのフル アクセスを許可し、条件付きで Azure AI ユーザー ロールを他のユーザー プリンシパルに割り当てることができます。 |
| Azure AI 所有者 | マネージド プロジェクトとリソースへのフル アクセスを許可し、プロジェクトを使用してビルドおよび開発します。 デジタルネイティブ向けに設計された高い特権を持つセルフサービスロール。 |
各組み込みロールの権限
次の表と図を使用して、主要な Azure 組み込みロールを含む、Foundry の組み込みロールごとに許可されるアクセス許可を確認します。
| 組み込みロール | Foundry プロジェクトを作成する | Foundry アカウントを作成する | プロジェクトでのビルドと開発 (データ アクション) | ロールの割り当てを完了する | プロジェクトとアカウントへの閲覧者アクセス | モデルを管理する |
|---|---|---|---|---|---|---|
| Azure AI ユーザー | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (Azure AI ユーザー ロールのみを割り当てる) | ✔ | ||
| Azure AI アカウント所有者 | ✔ | ✔ | ✔ (Azure AI ユーザー ロールのみを割り当てる) | ✔ | ✔ | |
| Azure AI 所有者 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (任意のユーザーに任意のロールを割り当てる) | ✔ | ✔ | |
| 投稿者 | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Azure と Foundry の組み込みロールの詳細については、 Azure の組み込みロールに関するページを参照してください。 Azure AI アカウント所有者ロールと Azure AI Project Manager ロールで使用される条件付き委任の詳細については、「 条件を持つ他のユーザーに Azure ロールの割り当て管理を委任する」を参照してください。
プロジェクトのエンタープライズ RBAC セットアップのサンプル
Enterprise Foundry リソースのロールベースのアクセス制御 (RBAC) を実装する方法の例を次に示します。
| ペルソナ | 役割と範囲 | 目的 |
|---|---|---|
| IT 管理者 | サブスクリプション範囲の所有者 | IT 管理者は、Foundry リソースがエンタープライズ標準を満たしていることを確認します。 リソースにマネージャーに対してAzure AI アカウント所有者ロールを割り当てることで、新しい Foundry アカウントを作成することができます。 マネージャーにリソースに対する Azure AI Project Manager ロールを割り当てて、アカウント内にプロジェクトを作成できるようにします。 |
| Managers | Foundry リソース スコープの Azure AI アカウント所有者 | マネージャーは、Foundry リソースの管理、モデルのデプロイ、コンピューティング リソースの監査、接続の監査、共有接続の作成を行います。 プロジェクトでビルドすることはできませんが、Azure AI ユーザー ロールを自分や他のユーザーに割り当ててビルドを開始できます。 |
| チーム リーダーまたはリード開発者 | Azure AI プロジェクト マネージャー の Foundry リソース スコープ | リード開発者はチームのプロジェクトを作成し、それらのプロジェクトでビルドを開始します。 プロジェクトを作成した後、プロジェクト所有者は他のメンバーを招待し、 Azure AI ユーザー ロールを割り当てます。 |
| チーム メンバーまたは開発者 | Foundry プロジェクト スコープでの Azure AI ユーザーと Foundry リソース スコープでの閲覧者 | 開発者は、事前にデプロイされた Foundry モデルと事前構築済みの接続を使用して、プロジェクトにエージェントをビルドします。 |
ロールの管理
Foundry でロールを管理するには、Azure でロールを割り当てたり削除したりするためのアクセス許可が必要です。 所有者の主要な Azure 組み込みロールには、必要なアクセス許可が含まれています。 Foundry ポータル (管理ページ)、Azure portal IAM、または Azure CLI を使用してロールを割り当てることができます。 ロールを削除するには、Azure portal IAM または Azure CLI のみを使用できます。
Foundry ポータルで、次の方法でアクセス許可を管理します。
- Foundry の ホーム ページで、 Foundry リソースを選択します。
- [ユーザー] を選択して、リソースのユーザーを追加または削除します。
Foundry ポータルで、次の方法でアクセス許可を管理します。
- Foundry の [管理者] ページで、[操作] を選択し、左側のナビゲーションで [管理者] を選択します。
- テーブルでプロジェクト名を選択します。
- 右上の [ ユーザーの追加] を選択します。 このボタンは、ロールを割り当てるアクセス許可がある場合にのみクリックできます。
- Foundry プロジェクトにユーザーを追加します。 Foundry リソースにも同じ手順が適用されます。
アクセス許可は、 Azure portal の アクセス制御 (IAM) または Azure CLI を使用して管理できます。
たとえば、次のコマンドは、ID joe@contoso.comを持つサブスクリプション内のリソース グループ this-rgの00000000-0000-0000-0000-000000000000に Azure AI ユーザー ロールを割り当てます。
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
プロジェクトのカスタム ロールを作成する
組み込みロールがエンタープライズ要件を満たしていない場合は、許可されたアクションとスコープを正確に制御できるカスタム ロールを作成します。 サブスクリプション レベルのカスタム ロール定義の例を次に示します。
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
カスタム ロールの作成の詳細については、次の記事を参照してください。
- Azure Portal
- Azure CLI
- Azure PowerShell
- Role-Based Access でプレビュー機能を無効にします。 この記事では、カスタム ロールを構築するときに使用できる、コントロールとデータ プレーン全体にわたる Foundry の特定のアクセス許可について詳しく説明します。
注意事項と制限事項
- 削除された Foundry アカウントを表示および消去するには、サブスクリプション スコープで共同作成者ロールが割り当てられている必要があります。
- 共同作成者ロールを持つユーザーは、Foundry でモデルをデプロイできます。
- リソースにカスタム ロールを作成するには、リソースのスコープに対する所有者ロールが必要です。
- ユーザー プリンシパルに Azure でロールを割り当てるアクセス許可 (アカウント スコープに割り当てられた所有者ロールなど) があり、Azure portal または Foundry ポータル UI から Foundry リソースをデプロイすると、Azure AI ユーザー ロールがユーザー プリンシパルに自動的に割り当てられます。 SDK または CLI から Foundry をデプロイする場合、この割り当ては適用されません。
- Foundry リソースを作成すると、組み込みのロールベースのアクセス制御 (RBAC) アクセス許可によってリソースにアクセスできるようになります。 Foundry の外部で作成されたリソースを使用するには、リソースにアクセスできるアクセス許可があることを確認します。 次に例をいくつか示します。
- 新しい Azure Blob Storage アカウントを使用するには、Foundry アカウント リソースのマネージド ID を、そのストレージ アカウントのストレージ BLOB データ閲覧者ロールに追加します。
- 新しい Azure AI Search ソースを使用するには、Foundry を Azure AI Search ロールの割り当てに追加します。
関連コンテンツ
付録
アクセス分離の例
企業内のユーザー ペルソナに応じて、組織ごとに異なるアクセス分離要件がある場合があります。 アクセスの分離とは、組み込みロールを使用したアクセス許可の分離または一元化された高度に制限されたロールに対して、どのロールの割り当てが企業のどのユーザーに付与されるかを指します。 Foundry には、アクセス分離の要件に応じて組織に対して選択できる 3 つのアクセス分離オプションがあります。
アクセスの分離はありません。 つまり、企業では、開発者、プロジェクト マネージャー、または管理者の間でアクセス許可を分離する要件はありません。これらのロールのアクセス許可は、チーム間で割り当てることができます。
そのため、あなたはそうすべきです。
- リソース スコープに対する Azure AI 所有者 ロールを企業内のすべてのユーザーに付与する
部分的なアクセスの分離。 つまり、企業のプロジェクト マネージャーは、プロジェクト内で開発し、プロジェクトを作成できる必要があります。 ただし、管理者は Foundry 内で開発することはできず、Foundry プロジェクトとアカウントのみを作成する必要があります。
そのため、あなたはそうすべきです。
- 管理者に対し、リソース範囲で Azure AI アカウント所有者権限を付与する
- リソースに対する Azure AI Project Manager ロールを開発者とプロジェクト マネージャーに付与する
完全アクセスの隔離。 つまり、管理者、プロジェクト マネージャー、開発者には、企業内のさまざまな機能に重複しない明確なアクセス許可が割り当てられます。
このため、以下の手順を実行してください。
- リソース スコープで 管理者に Azure AI アカウント所有者 を付与する
- 開発者に Foundry リソース スコープの 閲覧者 ロールを付与し、プロジェクト スコープで Azure AI ユーザー に付与する
- リソース スコープに対する Azure AI Project Manager ロールをプロジェクト マネージャー に付与する
Foundry で Microsoft Entra グループを使用する
Microsoft Entra ID には、リソース、アプリケーション、タスクへのアクセスを管理するためのいくつかの方法が用意されています。 Microsoft Entra グループを使用すると、個々のユーザーではなく、ユーザーのグループにアクセス権とアクセス許可を付与できます。 エンタープライズ IT 管理者は、Azure portal で Microsoft Entra グループを作成して、開発者向けのロールの割り当てプロセスを簡略化できます。 Microsoft Entra グループを作成するときに、Foundry プロジェクトで作業する新しい開発者に必要なロールの割り当ての数を最小限に抑えるには、グループに必要なロールの割り当てを必要なリソースに割り当てます。
Foundry で Entra ID グループを使用するには、次の手順を実行します。
Azure portal で [グループ ] に移動します。
グループ ポータルで新しい セキュリティ グループを作成します。
Microsoft Entra グループの所有者を割り当て、組織内の個々のユーザー プリンシパルをメンバーとしてグループに追加します。 グループを保存します。
ロールの割り当てが必要なリソースに移動します。
- 例: Foundry でエージェントを構築したり、トレースを実行したりするには、最小限の特権 "Azure AI User" ロールをユーザー プリンシパルに割り当てる必要があります。 "Azure AI ユーザー" ロールを新しい Microsoft Entra グループに割り当てて、企業内のすべてのユーザーが Foundry で構築できるようにします。
- 例: Microsoft Foundry でトレースおよび監視機能を使用するには、接続された Application Insights リソースに対する "閲覧者" ロールの割り当てが必要です。 社内のすべてのユーザーがトレースと監視機能を使用できるように、新しい Microsoft Entra グループに "閲覧者" ロールを割り当てます。
アクセス制御 (IAM) に移動します。
割り当てるロールを選択します。
"ユーザー、グループ、またはサービス プリンシパル" へのアクセスを割り当て、新しいセキュリティ グループを選択します。
確認して割り当てます。 ロールの割り当てが、グループに割り当てられているすべてのユーザー プリンシパルに適用されるようになりました。
Entra ID グループ、前提条件、および制限事項の詳細については、以下を参照してください。