Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Esse recurso está atualmente em versão prévia pública. Essa visualização é fornecida sem um contrato de nível de serviço e não é recomendada para utilização em produção. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter mais informações, consulte Termos de Uso Complementares para Versões Prévias do Microsoft Azure.
No momento da consulta, o Azure AI Search impõe políticas de rótulo de confidencialidade definidas no Microsoft Purview. Essas políticas incluem a avaliação dos direitos de uso para LEITURA vinculados a cada documento. Como resultado, os usuários só podem recuperar documentos que têm permissão para exibir.
Essa funcionalidade estende o controle de acesso no nível do documento para se alinhar aos requisitos de conformidade e proteção de informações da sua organização gerenciados no Microsoft Purview.
Quando a indexação do rótulo de confidencialidade do Purview está habilitada, o Azure AI Search verifica os metadados de rótulo de cada documento no momento da consulta. Ele aplica filtros de acesso com base nas políticas do Purview para retornar apenas os resultados que o usuário solicitante tem permissão para acessar.
Este artigo explica como funciona a aplicação de rótulos de confidencialidade no momento da consulta e como emitir consultas de pesquisa seguras.
Pré-requisitos
Antes de consultar um índice habilitado para rótulo de confidencialidade, as seguintes condições devem ser atendidas:
Você deve seguir todas as etapas para que os indexadores do Azure AI Search ingeram rótulos de confidencialidade do Microsoft Purview.
O serviço Azure AI Search e o usuário que está emitindo a consulta devem pertencer ao mesmo locatário do Microsoft Entra.
A versão prévia mais recente da API 2025-11-01-preview ou um SDK beta compatível deve ser usado para consultar o índice.
As consultas devem ser autenticadas usando o RBAC (controle de acesso baseado em função) do Azure, não as chaves de API. O acesso à chave de API é restrito à recuperação de esquema de índice somente quando a funcionalidade de rótulos de confidencialidade do Purview está habilitada.
Limitações
- Não há suporte para usuários convidados do Microsoft Entra e consultas entre locatários.
- O preenchimento automático e as APIs de Sugestão não têm suporte para índices habilitados para Purview.
- Se a avaliação do rótulo falhar (por exemplo, as APIs do Purview ficarão temporariamente indisponíveis), o serviço retornará 5xx e não retornará um conjunto de resultados parcial ou não filtrado.
- Não há suporte para filtros de segurança baseados em ACL junto com a funcionalidade de rótulo de confidencialidade no momento. Não habilite ambos ao mesmo tempo. Depois que houver suporte para o uso combinado, ele será documentado adequadamente.
- O sistema avalia os rótulos apenas como eles existiam no momento da última execução do indexador; Alterações de rótulo recentes podem não ser refletidas até o próximo reindex agendado.
Como funciona a imposição de rótulos de confidencialidade em tempo de consulta
Quando você consulta um índice que inclui rótulos de confidencialidade do Microsoft Purview, o Azure AI Search verifica as políticas associadas do Purview antes de retornar os resultados. Dessa forma, a consulta retorna apenas documentos que o token de usuário tem permissão para acessar.
1. Entrada de identidade do usuário e função de aplicativo
No momento da consulta, o Azure AI Search valida ambos:
- A função RBAC do aplicativo de chamada, fornecida no cabeçalho
Authorization. - A identidade do usuário por meio do token, fornecida no
x-ms-query-source-authorizationcabeçalho.
Ambos são necessários para autorizar a visibilidade baseada em rótulo.
| Tipo de entrada | Description | Origem de exemplo |
|---|---|---|
| Função de aplicativo | Determina se o aplicativo de chamada tem permissão para executar consultas no índice. | Authorization: Bearer <app-token> |
| Identidade do utilizador | Determina quais rótulos de confidencialidade o usuário final tem permissão para acessar. | x-ms-query-source-authorization: Bearer <user-token> |
2. Avaliação da etiqueta de sensibilidade
Quando uma solicitação de consulta é recebida, o Azure AI Search avalia:
- O campo sensitivityLabel em cada documento indexado (extraído do Microsoft Purview durante a ingestão).
- As permissões efetivas do Purview do usuário, conforme definido pelo Microsoft Entra ID e pela política de rótulos do Purview.
Se o usuário não estiver autorizado para o rótulo de confidencialidade de um documento com permissões de extração, esse documento será excluído dos resultados da consulta.
Observação
Internamente, o serviço cria filtros de acesso dinâmico semelhantes à imposição de RBAC.
Esses filtros não são visíveis para o usuário e não podem ser modificados no conteúdo da consulta.
3. Filtragem de resultados segura
O Azure AI Search aplica o filtro de segurança após todas as etapas de pontuação e filtros definidos pelo usuário.
Um documento será incluído no conjunto de resultados final somente se:
- O aplicativo de chamada tem uma atribuição de função válida (via RBAC) e
- O token de identidade do usuário representado por
x-ms-query-source-authorizationé válido e tem permissão para exibir o conteúdo com o rótulo de confidencialidade do documento.
Se uma das condições falhar, o documento será omitido dos resultados.
Exemplo de consulta
Veja um exemplo de solicitação de consulta usando a imposição de rótulos de confidencialidade do Microsoft Purview.
O token de consulta é passado nos cabeçalhos de solicitação. Ambos os cabeçalhos devem incluir tokens de portador válidos que representam o aplicativo e o usuário final.
POST {{endpoint}}/indexes/sensitivity-docs/docs/search?api-version=2025-11-01-preview
Authorization: Bearer {{app-query-token}}
x-ms-query-source-authorization: Bearer {{user-query-token}}
Content-Type: application/json
{
"search": "*",
"select": "title,summary,sensitivityLabel",
"orderby": "title asc"
}
Tratamento de rótulo de confidencialidade no Azure AI Search
Quando o Azure AI Search indexa o conteúdo do documento com rótulos de confidencialidade de fontes como SharePoint, Blob do Azure e outros, ele armazena o conteúdo e os metadados do rótulo. A consulta de pesquisa retorna o conteúdo indexado junto com o GUID que identifica o rótulo de confidencialidade aplicado ao documento, somente se o usuário tiver acesso de leitura de dados para esse documento. Esse GUID identifica exclusivamente o rótulo, mas não inclui propriedades legíveis por humanos, como o nome do rótulo ou permissões associadas.
Observe que o GUID sozinho é insuficiente para cenários que incluem a interface de usuário, pois os rótulos de confidencialidade geralmente carregam outros controles de política impostos pela Proteção de Informações do Microsoft Purview, como permissões de impressão ou restrições de captura de tela e de vídeo. O Azure AI Search não apresenta esses recursos.
Para exibir nomes de rótulos e/ou impor restrições específicas da interface do usuário, seu aplicativo deve chamar o ponto de extremidade da Proteção de Informações do Microsoft Purview para recuperar metadados completos do rótulo e as permissões associadas.
Você pode usar o GUID retornado pelo Azure AI Search para resolver as propriedades do rótulo e chamar as APIs de Rótulos do Purview para buscar o nome do rótulo, a descrição e as configurações de política. Este exemplo de demonstração de ponta a ponta inclui código que mostra como chamar o endpoint na interface do usuário. Ele também demonstra como extrair o nome do rótulo e expô-lo como parte das citações usadas em seus aplicativos ou agentes RAG.