你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Note
本文档适用于 Microsoft Foundry(新)门户。
小窍门
另有一篇以中心为中心的 RBAC 文章可供参考:Microsoft Foundry(中心和项目)的基于角色的访问控制。
本文介绍如何管理对Foundry资源的访问权限。 使用 Azure 基于角色的访问控制(Azure RBAC)管理对 Azure 资源的访问,例如创建新资源或使用现有资源。 在 Microsoft Entra ID 中,分配授予资源访问权限的用户角色。 Azure 提供内置角色,并允许创建自定义角色。
本文介绍如何管理对 Microsoft Foundry 资源的访问权限。 使用 Azure 基于角色的访问控制(Azure RBAC)管理对 Azure 资源的访问,例如创建新资源或使用现有资源。 在 Microsoft Entra ID 中,分配授予资源访问权限的用户角色。 Azure 提供内置角色,并允许创建自定义角色。
如果内置的 Azure AI 用户 角色不符合你的需求,则可以创建自定义 角色。
Warning
应用某些角色可能会限制其他用户在 Foundry 门户中的 UI 功能。 例如,如果用户的角色没有创建计算实例的权限,则门户中不提供创建计算实例的选项。 此行为是正常的,可以防止用户尝试会返回“拒绝访问”错误的操作。
Foundry 项目角色
在 Foundry 门户中,有两个级别的访问:
- 帐户:该帐户是您 Foundry 资源的基础设施(包括虚拟网络设置、客户管理的密钥、托管标识和策略)所在的地方。
- 项目:项目是开发人员开始使用 Foundry 进行生成的地方,例如生成代理、运行评估等。 Foundry 资源库具有一些内置角色,这些角色默认适用于该帐户和项目。 下面是内置角色及其权限的表。
| Role | Description |
|---|---|
| Azure AI 用户 | 授予读者对 AI 项目的访问权限、读者对 AI 帐户的访问权限以及 AI 项目的数据操作权限。 如果你可以分配角色,则会自动为你分配此角色。 否则,订阅所有者或具有角色分配权限的用户将授予该角色。 |
| Azure AI 项目经理 | 允许对 Foundry 项目执行管理作、使用项目生成和开发,并有条件地将 Azure AI 用户角色分配给其他用户主体。 |
| Azure AI 帐户所有者 | 授予管理 AI 项目和帐户的完全访问权限,并允许有条件地将 Azure AI 用户角色分配给其他用户主体。 |
| Azure AI 所有者 | 授予对托管 AI 项目和帐户的完全访问权限,并使用这些项目进行构建和开发。 |
Note
Azure AI 所有者角色当前无法分配,但很快将在 Azure 和 Foundry 门户中可供分配。
Note
若要查看和清除已删除的 Foundry 帐户,必须在订阅范围内分配参与者角色。
除了这些内置角色分配之外,还有 Azure 特权管理员角色,如所有者、参与者和读者。 这些角色不特定于 Foundry 资源权限,因此请使用前面所述的内置角色进行最低特权访问。
使用下表查看每个内置角色(包括 Azure 特权管理员角色)的权限:
| 内置角色 | 创建 Foundry 项目 | 创建 Foundry 帐户 | 在项目中生成和开发(数据操作) | 完成角色分配 | 读取者对项目和帐户的访问权限 | 管理模型 |
|---|---|---|---|---|---|---|
| Azure AI 用户 | ✔ | ✔ | ||||
| Azure AI 项目经理 | ✔ | ✔ | ✔ (仅分配 Azure AI 用户角色) | ✔ | ||
| Azure AI 帐户所有者 | ✔ | ✔ | ✔ (仅分配 Azure AI 用户角色) | ✔ | ✔ | |
| Azure AI 所有者 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| Owner | ✔ | ✔ | ✔ (将任何角色分配给任何用户) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
项目的内置角色
Azure AI 用户
Azure AI 用户角色是 Foundry 中的最低特权访问角色,仅授予所需的控制平面访问权限。 下面是 Azure AI 用户角色的权限:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": ["/"],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/*"],
"notDataActions": []
}
]
}
}
Note
如果你有权限在 Azure 中分配角色(例如,用户主体在帐户范围内被分配了所有者角色),并且你从 Azure 门户或 Foundry 门户 UI 部署 Foundry 资源,那么 Azure AI 用户角色会自动分配给你的用户主体。 从 SDK 或 CLI 部署 Foundry 时不适用。 此外,在 Foundry 门户中,可以提供给其他团队成员的唯一角色分配是 Azure AI 用户角色和 Azure AI 帐户所有者角色的组合。 有关根据访问隔离要求分配角色的建议,请参阅以下关于访问隔离的建议。
Azure AI 项目经理
Azure AI 项目经理角色使用有条件的 Azure 角色分配委派。 使用条件委派,该角色只能将 Azure AI 用户角色分配给资源组中的用户主体。 条件委派允许管理员委派角色分配,以便团队可以开始构建 Foundry 项目。 有关详细信息,请参阅根据条件将 Azure 角色分配管理委托给其他用户。
下面是 Azure AI 项目经理角色的权限:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI 帐户所有者
Azure AI 帐户所有者角色利用委托的 Azure 角色分配管理来按条件管理其他人。 由于条件委派,Azure AI 帐户所有者角色只能将 Azure AI 用户角色分配给资源组中的其他用户主体。 条件委派允许企业管理员委托角色分配的工作,以开始使用 Foundry 项目进行构建和开发。 有关具有条件的角色分配的详细信息,请参阅 将 Azure 角色分配管理委派给有条件的其他人。
新 Azure AI 帐户所有者角色的完整权限集为:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principals.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI 所有者
Azure AI 所有者角色是专为那些希望通过自助服务内置角色进行所有操作的企业设计的,该角色允许从创建 Foundry 资源和部署模型,到在 Foundry 中构建代理及运行评估的一切操作。 此角色将很快可供分配。
新 Azure AI 所有者角色的完整权限集为:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/",
"properties": {
"roleName": "Azure AI Owner",
"description": " Grants full to manage AI project and accounts. Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
]
}
}
项目的企业 RBAC 设置示例
下表显示了企业 Foundry 资源的基于角色的访问控制(RBAC)示例。
| Persona | Role | Purpose |
|---|---|---|
| IT 管理员 | 订阅所有者 | IT 管理员确保 Foundry 资源符合企业标准。 在资源上分配 Azure AI 账户所有者 角色,以使管理者能够创建新的 Foundry 账户。 为管理员分配资源的 Azure AI 项目经理角色,以允许他们在帐户内创建项目。 |
| Managers | Foundry 资源上的 Azure AI 帐户所有者 | 经理管理 Foundry 资源、部署模型、审核计算资源、审核连接以及创建共享连接。 他们无法构建项目,但可以将 Azure AI 用户角色分配给自己和其他人以开始构建。 |
| 团队主管或首席开发人员 | Foundry 资源上的 Azure AI 项目经理 | 首席开发人员可为他们的团队创建项目并开始在项目中进行生成。 创建项目后,项目所有者邀请其他成员并分配 Azure AI 用户 角色。 |
| 团队成员或开发人员 | Foundry 项目上的 Azure AI 用户 | 开发人员在项目中构建代理。 |
Important
具有参与者角色的用户可以在 Foundry 中部署模型。
访问隔离示例
每个组织可能有不同的访问隔离要求,具体取决于企业中的用户角色。 访问隔离是指为企业中的具体用户分配具体角色,以使用我们的内置角色或统一的、高度许可的角色进行权限分离。 Foundry 有三个访问隔离选项,可以根据访问隔离要求为组织选择这些选项。 可以在不同范围(Foundry 帐户或 Foundry 项目)内分配这些角色。
- 无访问隔离。 这意味着在企业中,你没有任何要求将权限分隔在开发人员、项目经理或管理员之间。可以跨团队分配这些角色的权限。
因此,你应该...
- 在帐户级别向企业中的所有用户授予 参与者 和 Azure AI 用户 角色
- 部分访问隔离。 这意味着企业中的项目经理应该能够在项目内进行开发,并创建项目。 但是管理员不能在 Foundry 中进行开发,只能创建 Foundry 项目和帐户。
因此,你应该...
- 在帐户级别将“Azure AI 帐户所有者”****角色授予你的管理员
- 在帐户级别为开发人员和项目经理分配“Azure AI 项目经理”角色和“读取者”角色
- 完全访问隔离。 这意味着管理员、项目经理和开发人员具有明确的权限,这些权限不会与企业内的不同功能重叠。
因此,你应...
- 在帐户级别向您的管理员授予 Azure AI 帐户所有者 权限。
- 在账户级别向开发人员授予“读者”角色,并在项目级别授予“Azure AI 用户”角色。
- 在帐户级别向项目经理授予 Azure AI 项目经理 角色
访问在 Foundry 外部创建的资源
创建 Foundry 资源时,内置的基于角色的访问控制 (RBAC) 权限可让你访问资源。 若要使用在 Foundry 外部创建的资源,请确保满足以下两项:
- 你有权访问该资源。 例如,若要使用新的 Azure Blob 存储帐户,请将 Foundry 帐户资源的托管标识添加到该存储帐户上的存储 Blob 数据读取者角色。 若要使用新的 Azure AI 搜索源,请将 Foundry 添加到 Azure AI 搜索角色分配。
使用项目角色管理访问权限
如果你是 Foundry 帐户资源的所有者,请添加或删除角色。
在 Azure Foundry AI 门户中,可以通过以下方式管理权限:
- 在 Foundry 的主页上,选择 Foundry 资源。
- 选择“用户”以添加或删除资源的用户。
可以在 Azure 门户中 使用 访问控制(IAM) 或使用 Azure CLI 管理权限。
例如,以下命令将 Azure AI 用户角色分配给订阅中 ID 为 joe@contoso.com 的资源组 this-rg 的 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
为项目创建自定义角色
如果内置角色不够,请创建自定义角色。 自定义角色可以包括 Foundry 资源的读取、写入和删除权限。 使角色在项目、资源组或订阅范围内可用。
Note
需要该范围内的“所有者”角色才能在该资源中创建自定义角色。
若要创建自定义角色,请务必知道 Foundry 中的哪些权限会阻止 Foundry 中的某些方案或功能。 下面是不同场景或功能的权限集合,可以将其添加到为更具体的用户角色创建的自定义角色的 notActions 或 notDataActions 中。
资源预配权限
以下权限与资源预配相关。 权限主要涉及控制平面或操作。
创建 Foundry 资源的权限
用户预配新的 Foundry 资源或项目。 他们可能会为新团队设置工作区,或定义资源组和订阅设置。
行动
- */write (由参与者角色授予)
- Microsoft.CognitiveServices/accounts/*
- Microsoft.Resources/subscriptions/resourceGroups/write*
创建 Foundry 项目的权限
用户预配新的 Foundry 项目。 行动
- Microsoft.CognitiveServices/accounts/projects/read
- Microsoft.CognitiveServices/accounts/projects/write
- Microsoft.CognitiveServices/accounts/projects/delete 删除微软认知服务账户项目
查看成本管理的权限
用户评审支出和使用情况报告。 他们可能会检查模型训练与推理的成本明细、分析预算的消耗趋势,或导出财务团队的成本数据。
行动
- Microsoft.CostManagement/*/read
- Microsoft.Consumption/*/read
将代理部署到 Web 应用的权限
用户将代理发布为 Web 应用程序。 他们可能会部署到 Azure 应用服务供面向客户的使用、配置身份验证和缩放设置,或与企业标识(Entra ID)集成。
行动
- Microsoft.Web/sites/* (适用于应用服务)
- Microsoft.Resources/deployments/*
- Microsoft.Authorization/*/read
部署模型的权限(模型目录)
用户采用经过训练或微调的模型,并使其可用于推理。 它们可以部署为实时终结点、设置自动缩放和网络规则,或应用治理策略以供生产使用。
行动
- Microsoft.CognitiveServices/accounts/deployments/read
- Microsoft.CognitiveServices/accounts/deployments/write
- Microsoft.CognitiveServices/accounts/deployments/delete
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/deployments/read
创建和读取连接的权限
用户在 Foundry 中使用连接将 Foundry 与外部或内部资源集成。
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/connections/read
- Microsoft.CognitiveServices/accounts/AIServices/connections/listSecrets/action 操作
- Microsoft.CognitiveServices/accounts/connections/*
- Microsoft.CognitiveServices/accounts/projects/connections/*
消耗权限
以下权限与使用 Foundry 相关。 权限主要是数据平面,即 dataActions。
Note
对于上述任一方案,需要对 Foundry 帐户/项目拥有基本的读取权限。 因此,除了所需的 dataActions“Microsoft.CognitiveServices/accounts/*/read”之外,还需考虑到要让所有方案中必需的操作都具有此权限
查看遥测/跟踪的权限
用户想要监视 Foundry 资源的系统运行状况和性能。 他们可能会检查日志以排查模型部署问题、查看延迟、错误率或吞吐量等指标,在 Application Insights 中查询诊断数据。
DataActions
- Microsoft.OperationalInsights/工作区/搜索/操作
- Microsoft.Support/*
- Microsoft.Insights/alertRules/read
- Microsoft.Insights/diagnosticSettings/read
- Microsoft.Insights/logDefinitions/read
- Microsoft.Insights/metricdefinitions/read
- Microsoft.Insights/metrics/read
行动
- Microsoft.Insights/*/read(用于对监视资源进行的控制平面访问)
App Insights 资源的其他内置角色分配:
- 监视阅读器
- 监视参与者
有关用于监视的内置角色的详细信息,请参阅 适用于 Monitor 的 Azure 内置角色。
微调模型的权限
用户为其特定于域的数据自定义基础模型。 他们可能会上传训练数据集、在 LLM 上启动微调运行,或监视进度并检索优化的部署模型。
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/read
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/write
- Microsoft.CognitiveServices/accounts/AIServices/fine_tuning/delete
生成代理的权限
用户在 Foundry 中创建代理。 他们可能使用模型部署代理、添加工具或连接器(例如 Azure AI 搜索、逻辑应用),或为多步骤任务配置业务流程逻辑。
DataActions
- Microsoft.CognitiveServices/accounts/AIServices/agents/read
- Microsoft.CognitiveServices/accounts/AIServices/agents/write
- Microsoft.CognitiveServices/accounts/AIServices/agents/delete
在 Foundry 中批量推理的权限
用户将请求发送到已部署的模型进行预测。 他们可能会调用 REST API 进行评分,对大型数据集运行批处理推理,验证输出的准确性和符合性。
DataActions:
- Microsoft.CognitiveServices/accounts/OpenAI/batch-jobs/read
- Microsoft.CognitiveServices/accounts/OpenAI/batches/read
- Microsoft.CognitiveServices/accounts/OpenAI/batches/delete
- Microsoft.CognitiveServices/accounts/OpenAI/batches/cancel/action
操作:
- Microsoft.CognitiveServices/accounts/deployments/read
- Microsoft.CognitiveServices/accounts/deployments/write
- Microsoft.CognitiveServices/accounts/deployments/completions/action
使用 Azure AI 搜索的权限
用户为 Foundry 代理或应用启用基于搜索的检索。 它们可能会为 RAG(检索增强生成)场景创建和管理索引,或查询文档。
DataActions
- Microsoft.Search/searchServices/indexes/*
- Microsoft.Search/searchServices/query/action
行动
- Microsoft.Search/searchServices/*/read
- Microsoft.Search/searchServices/*/write
搜索资源上的其他内置角色分配:
- 搜索服务参与者 (管理索引和设置)
- 搜索索引数据参与者 (读/写索引数据)
- 搜索索引数据读取器 (具有最低权限的只读访问用于查询)
有关 Azure AI 搜索内置角色的详细信息,请参阅 使用 Azure 角色进行连接 - Azure AI 搜索。
在 Foundry 中调用逻辑应用的权限
用户将工作流自动化集成到 Foundry 中。 当代理完成任务、通过逻辑应用连接器调用外部 API 或自动执行通知或数据移动时,它们可能会触发逻辑应用。
DataActions
- Microsoft.Logic/workflows/run/action
- Microsoft.Logic/workflows/read
行动
- Microsoft.Logic/workflows/*/read
- Microsoft.Logic/workflows/*/write
- Microsoft.Logic/workflows/*/action
逻辑应用资源上的内置角色分配:
- 逻辑应用参与者
- 逻辑应用操作员
有关创建自定义角色的更多详细信息,请参阅以下文章之一:
- Azure 门户
- Azure CLI
- Azure PowerShell
将 Microsoft Entra 组与 Foundry 配合使用
Microsoft Entra ID 提供了多种方式来管理对资源、应用程序和任务的访问。 使用 Microsoft Entra 组,可以向一组用户而不是每个用户授予访问权限和权限。 可以在 Azure 门户中为企业 IT 管理员创建Microsoft Entra 组,以简化开发人员的角色分配过程。 创建 Microsoft Entra 组时,可以通过在必要的资源上为该组分配所需的角色分配,来最大程度地减少新开发人员在 Foundry 项目中工作所需的角色分配数量。
完成以下步骤,以将 Entra ID 组与 Foundry 配合使用:
导航到 Azure 门户中的 组 。
在组门户中创建新的 安全组 。
分配 Microsoft Entra 组的所有者,并将组织中的单个用户主体作为成员添加到该组中。 保存组。
导航至需要进行角色分配的资源。
- 例: 若要在 Foundry 中生成代理、运行跟踪等,必须将最低特权“Azure AI 用户”角色分配给用户主体。 将“Azure AI 用户”角色分配给 Microsoft Entra 的新组,以便企业中的所有用户都可以在 Foundry 中进行开发。
- 例: 若要在 Microsoft Foundry 中使用跟踪和监视功能,需要在连接的 Application Insights 资源上分配“读者”角色。 将“读者”角色分配给新的Microsoft Entra 组,以便企业中的所有用户都可以使用跟踪和监视功能。
导航到访问控制(IAM)。
选择要分配的角色。
分配对“用户、组或服务主体”的访问权限,然后选择新的安全组。
查看并分配。 角色分配现在适用于分配给组的所有用户原则。
若要详细了解 Entra ID 组、先决条件和限制,请参阅:
相关内容
创建项目。