Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Entwickler, die über die Rolle " Foundry User " im Bereich "Foundry" oder "Project" verfügen, können Agents erstellen, Rückschlüsse ausführen und die meisten Foundry-Features verwenden. Viele Administrative Aufgaben erfordern jedoch erhöhte Rollen wie Besitzer, Mitwirkender, Besitzer des Foundry-Kontos oder andere spezielle Rollen.
In diesem Artikel wird erläutert, welche erweiterten Rollen für jeden Bereich der Gießereiverwaltung erforderlich sind, warum diese Rollen erforderlich sind, und Links zu den detaillierten Verfahren. Verwenden Sie sie als Referenz, wenn Entwickler auf Berechtigungsfehler stoßen oder Rollenzuweisungen für eine neue Umgebung planen.
Note
Vorschaufunktionen, gehostete Optionen und bestimmte zugrunde liegende Ressourcen können zusätzliche Rollen oder Berechtigungen auf der Datenebene erfordern. Überprüfen Sie die verknüpften Artikel auf die genauen Anforderungen in Ihrem Szenario.
Hintergrundinformationen zu Rollendefinitionen in Foundry finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Foundry.
Wichtige Konzepte
- Steuerungsebene – Vorgänge, die Azure Ressourcen verwalten (Erstellen, Löschen, Konfigurieren). Durch Azure RBAC-Rollen wie Besitzer und Mitwirkende geregelt.
- Datenebene – Vorgänge, die die Laufzeitfunktionen einer Ressource verwenden (Leseblobs, Abfrageindizes). Geregelt durch Datenrollen wie Storage Blob Data Contributor.
- Verwaltete Identität — Eine automatisch verwaltete Microsoft Entra-Identität, die sich ohne gespeicherte Anmeldeinformationen bei zugrunde liegenden Ressourcen authentifiziert. In Foundry ist die vom Projekt verwaltete Identität die Identität, die Ihr Projekt zur Laufzeit verwendet. Einige Setups basieren auch auf der freigegebenen Identität auf Kontoebene für den Ressourcenzugriff. Verwenden Sie den Identitätsnamen, der Ihrem Szenario entspricht, anstatt die beiden Begriffe als austauschbar zu behandeln.
-
Foundry-Ressource – Die Azure Ressource (vom Typ
Microsoft.CognitiveServices/accounts), die Ihre Foundry-Projekte hosten. - Bereich – Die Ebene, auf der eine Rollenzuweisung gilt: Abonnement, Ressourcengruppe, Ressource oder Projekt. Rollen, die einem höheren Geltungsbereich zugewiesen sind, werden nach unten vererbt.
Übersicht über die Umgebungseinrichtung
Wenn Sie eine neue Foundry-Umgebung bereitstellen, folgen die Aufgaben dieser allgemeinen Reihenfolge:
- Erstellen Sie eine Foundry-Ressource – Erforderlich vor allen anderen Vorgängen.
- Erstellen Sie ein oder mehrere Projekte — Agenten, Modelle und Verbindungen befinden sich in Projekten.
- Zuweisen von Rollen zu Entwicklern – Entwickler benötigen Foundry User für den allgemeinen Zugriff. Für die Modellbereitstellung ist eine separate Rolle erforderlich.
- Bereitstellen von Modellen – Erfordert Besitzer des Foundry-Kontos.
- Konfigurieren sie die Agentinfrastruktur (falls erforderlich).
- Konfigurieren Sie Netzwerk (falls erforderlich).
- Richten Sie Schutzschienen und Richtlinien ein.
- Überwachung aktivieren.
Tip
Kleines Team (1-5 Entwickler)? Weisen Sie sich selbst im Geltungsbereich der Ressourcengruppe die Rolle Besitzer und jedem Entwickler im Geltungsbereich der Foundry-Ressource die Rolle Foundry-Benutzer zu. Diese Aufgabe umfasst die meisten administrativen Aufgaben. Verwenden Sie für größere Teams Microsoft Entra Gruppen und Bereichsrollen pro Projekt.
In den verbleibenden Abschnitten werden die Rollenanforderungen für jeden Bereich erläutert. Eine Zusammenfassung aller Rollen mit erhöhten Rechten finden Sie unter Kurzübersicht: Rollenzusammenfassung.
Erstellen und Konfigurieren von Foundry-Ressourcen
Das Erstellen von Foundry-Ressourcen und -Projekten erfordert Steuerungsebenenberechtigungen, die Entwickler normalerweise nicht haben. Diese Vorgänge ändern Azure Resource Manager Objekte, sodass sie Rollen wie Mitwirkender oder Besitzer des Foundry-Kontos auf Abonnement- oder Ressourcengruppenebene benötigen.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Erstellen einer Foundry-Ressource | Mitwirkender, Inhaber des Foundry-Kontos, oderFoundry-Inhaber | Abonnement- oder Ressourcengruppe | Erstellen Ihrer ersten Ressource |
| Erstellen eines Foundry-Projekts | Mitwirkender, Inhaber des Foundry-Kontos, oderFoundry-Inhaber | Foundry-Ressource | Erstellen und Verwalten von Projekten |
| Upgrade beim Azure OpenAI-Dienst | BesitzeroderMitwirkender | Azure OpenAI-Ressource | Upgrade von Azure OpenAI Service |
| Wiederherstellen oder Löschen gelöschter Konten | Contributor | Subscription | Wiederherstellen oder Löschen gelöschter Ressourcen |
| Erstellen von Ressourcen mithilfe von Bicep | MitwirkenderoderBesitzer | Ressourcengruppe | Erstellen von Ressourcen mithilfe der Bicep-Vorlage |
Schrittweise Anleitungen mithilfe der Azure CLI, Bicep oder des Portals finden Sie unter Erstellen Ihrer ersten Ressourceund Erstellen und Verwalten von Projekten.
Weisen Sie Teammitgliedern Rollen zu
Um einem Benutzer eine beliebige Rolle zuzuweisen, benötigen Sie die Rolle "Besitzer" oder " Benutzerzugriffsadministrator " im Zielbereich. Die Rollen "Foundry Account Owner" und "Foundry Project Manager" können die Rolle "Foundry User" nur unter bestimmten Bedingungen zuweisen.
Note
Eine im Ressourcengruppenbereich zugewiesene Rolle gilt für alle Foundry-Ressourcen und -Projekte innerhalb dieser Gruppe. Weisen Sie den engsten Geltungsbereich zu, der Ihren Anforderungen entspricht.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Foundry-Benutzer Entwicklern zuweisen | BesitzeroderAdministrator für Benutzerzugriff | Gießereiressource oder Projekt | Rollenbasierte Zugriffssteuerung |
| Foundry User zuweisen (bedingt) | Inhaber des Foundry-KontosoderFoundry-Projektmanager | Gießereiressource oder Projekt | Rollenbasierte Zugriffssteuerung |
| Erstellen Sie benutzerdefinierte RBAC-Rollen | Owner | Abonnement- oder Ressourcengruppe | Rollenbasierte Zugriffssteuerung |
| Zuweisen benutzerdefinierter Rollen | Benutzerzugriffsadministratoroderrollenbasierte Access Control Administrator | Zielbereich | Rollenbasierte Zugriffssteuerung |
| Rollen mit Microsoft Entra-Gruppen verwalten | BesitzeroderBenutzerzugriffsadministrator | Zielbereich | Rollenbasierte Zugriffssteuerung |
Tip
Verwenden Sie Microsoft Entra Gruppen, um Rollenzuweisungen zu vereinfachen. Erstellen Sie eine Sicherheitsgruppe, weisen Sie sie der entsprechenden Rolle zu, und fügen Sie Entwickler als Mitglieder hinzu. Eine exemplarische Vorgehensweise finden Sie unter Rollenbasierte Zugriffssteuerung .
Überlegungen zum Bereich
- Weisen Sie die Rolle "Foundry User" im Geltungsbereich der Foundry-Ressource zu, um Zugriff auf alle Projekte in der Ressource zu gewähren.
- Weisen Sie auf Projektebene zu, um den Zugriff auf ein einzelnes Projekt zu beschränken.
- Für Organisationen, die Microsoft Entra Privileged Identity Management (PIM) verwenden, sollte erwogen werden, Zuweisungen zu Rollen mit erhöhten Rechten als berechtigt statt als dauerhaft festzulegen. Zulässige Zuweisungen erfordern eine Just-in-Time-Aktivierung, wodurch die Gefährdung durch dauerhafte privilegierte Berechtigungen reduziert wird.
Schritt-für-Schritt-Zuweisungsverfahren finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Foundry und Assign Azure Rollen.
Note
Rollenzuweisungen können bis zu fünf Minuten dauern, bis sie verteilt werden. Wenn ein Entwickler direkt nach der Zuweisung meldet, dass der Zugriff verweigert wird, bitten Sie ihn, zu warten und es erneut zu versuchen. Siehe Beheben häufiger Berechtigungsfehler für häufige Ursachen.
Konfigurieren der Agentinfrastruktur
Die Einrichtung von Agenten ist der Bereich in Foundry mit dem höchsten Berechtigungsbedarf. Die erforderlichen Rollen hängen davon ab, welche Setupoption Sie auswählen.
| Einrichtungsoptionen | Auswählen, wann | Voraussetzungen | Kompromiss |
|---|---|---|---|
| Standard | Sie benötigen volle Kontrolle über Datenresidenz und Ressourcenbereitstellung | Bereitgestellte Cosmos DB-, KI-Suche- und Speicherressourcen in Ihrer Ressourcengruppe | Sie verwalten die Bereitstellung und RBAC für Cosmos DB, Search und Storage |
| Gehostet | Sie möchten den schnellsten Pfad mit minimalem Setup | Keine — Foundry stellt unterstützende Ressourcen für Sie bereit | Foundry verwaltet Sicherungsressourcen; weniger Netzwerksteuerung |
| BYO-Ressourcen | Sie verfügen bereits über Cosmos DB, Search oder Storage mit spezifischen Complianceanforderungen. | Vorhandene Cosmos DB-, KI-Such- oder Speicherressourcen mit konfigurierter Netzwerkzugriff | Sie fügen vorhandene Ressourcen an und verwalten deren RBAC |
Überprüfen Sie den Unterabschnitt, der Ihrer Setupoption entspricht. Überspringen Sie die anderen – Sie können später zu ihnen zurückkehren, wenn sich Ihre Anforderungen ändern.
Standard-Agent-Setup
Das Standard-Agent-Setup erfordert, dass Sie Ihre eigenen Azure Cosmos DB, Azure KI-Suche und Azure Storage Ressourcen bereitstellen und verwalten. Dieser Ansatz gibt Ihnen die volle Kontrolle über die Datenresidenz, erfordert jedoch die Zuweisung von Datenebenenrollen an die verwaltete Identität des Projekts für jede zugrunde liegende Ressource.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Zuweisen von dienstübergreifenden Rollen (Cosmos DB, Suche, Speicher) | BesitzeroderRollenbasierter Access Control Administrator | Ressourcengruppe | Standard-Agent-Setup |
| Bereitstellen von Agentressourcen | Foundry-KontoinhaberoderInhaber | Subscription | Einrichten der Agentressourcen |
Weisen Sie der verwalteten Identität des Foundry-Projekts auf den zugrunde liegenden Ressourcen die folgenden Data-Plane-Rollen zu:
| Resource | Role |
|---|---|
| Azure Cosmos DB (ein Microsoft-Datenbankdienst) | Integrierter Cosmos DB-Datenmitwirkender |
| Azure KI-Suche | Suchindexdatenmitwirkender, Suchdienstmitwirkender |
Azure Storage (azureml-blobstore) |
Mitwirkender an Speicherblobdaten |
Azure Storage (agents-blobstore) |
Besitzer von Speicherblobdaten |
Note
Cosmos DB Built-in Data Contributor ist eine Cosmos DB-Datenebenenrolle. Weisen Sie es über die Azure CLI (az cosmosdb sql role assignment create) oder Bicep zu – nicht über das standardmäßige Blatt Access control (IAM). Ausführliche Informationen finden Sie unter Konfigurieren der rollenbasierten Zugriffssteuerung für Azure Cosmos DB.
Informationen zum vollständigen Bereitstellungsverfahren und Bicep Vorlagen finden Sie unter Standard-Agent-Setup.
Einrichtung des gehosteten Agents
Das Setup des gehosteten Agents ist weiterhin der schnellste Pfad für die Agent-Laufzeitinfrastruktur, verfügt jedoch über explizite Ressourcen- und RBAC-Voraussetzungen. Zusätzlich zu Ihrem Foundry-Konto und Ihrem Foundry-Projekt sollten Sie auch einen Azure Container Registry (ACR), Application Insights und einen verknüpften Log Analytics-Arbeitsbereich einplanen.
| Aufgabenbereich | Minimale Rolle | Geltungsbereich | Hinweise |
|---|---|---|---|
| Erstellen von ACR-, Application Insights- und Log Analytics-Ressourcen | MitwirkenderoderBesitzer | Ressourcengruppe | Erforderlich, wenn Ihr gehosteter Bereitstellungsfluss diese Ressourcen erstellt. |
| Gehostete Agents und Agentversionen erstellen (Datenebene) | Foundry User, Foundry Project ManageroderFoundry Owner | Gießereiprojekt | Besitzer/Der Mitwirkende allein ist nicht ausreichend für Erstellungs- oder Aktualisierungsvorgänge im Datenebenen-Agent. |
| Erstellen von Projektverbindungen | Foundry Project Manager, Foundry Account Owner, Foundry Owner, Mitarbeiter, oderInhaber | Gießereiprojekt | Erforderlich für ACR- und Observability-Verbindungen. |
| Zuweisen einer ACR-Pull-/Leserolle zu projektverwalteter Identität | BesitzeroderRollenbasierter Access Control Administrator | ACR-Ressource | Leser des Container Registry-Repositorys (oder AcrPull) zuweisen. |
| Images zur Bereitstellung an ACR übertragen | Container Registry Repository Writer (oder AcrPush) | ACR-Ressource | Erforderlich für den Benutzer oder Prinzipal, der Agentimages pusht. |
| Agent-Telemetrie zur Auswertung lesen | Log Analytics Datenleser | Log Analytics-Arbeitsbereich | Wird von der vom Projekt verwalteten Identität für Auswertungen benötigt, die Arbeitsbereichsdaten lesen. |
Note
Foundry Project Manager und Foundry Account Owner können in ihrem eingeschränkten Rollenzuweisungsbereich nur die Rolle Foundry User zuweisen. Verwenden Sie Besitzer oder Role Based Access Control Administrator, wenn Sie Rollenzuweisungen für externe Ressourcen wie ACR oder Log Analytics benötigen.
Ausführliche Anweisungen zu Berechtigungen des gehosteten Agents finden Sie unter Referenz zu Berechtigungen für gehostete Agent.
Schrittweise Anleitungen finden Sie unter Bereitstellen eines gehosteten Agents.
Eigene Ressourcen verwenden
Verwenden Sie diese Option, wenn Sie bereits über Azure Cosmos DB, KI-Suche oder Speicherressourcen mit bestimmten Complianceanforderungen verfügen. Sie fügen vorhandene Ressourcen an ein Foundry-Projekt an und weisen die erforderlichen Datenebenenrollen der verwalteten Identität des Projekts zu.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Anfügen eigener Ressourcen | Foundry-KontoinhaberoderInhaber | Subscription | Verwenden Ihrer eigenen Azure-Ressourcen |
| Rollen einer verwalteten Identität zuweisen | BesitzeroderAdministrator für Benutzerzugriff | Zielressource | Verwenden Ihrer eigenen Azure-Ressourcen |
Ausführliche Anweisungen finden Sie unter Verwenden Ihrer eigenen Azure Ressourcen.
Agenten-Tools mit höheren Anforderungen
Mehrere Agenttools erfordern einen Mitwirkenden oder höher, um ihre Sicherungsressourcen bereitzustellen oder zu konfigurieren.
Infrastrukturtools
| Tool | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Bing-Erdung | MitwirkenderoderBesitzer | Abonnement- oder Ressourcengruppe | Bing-Tools |
| Browserautomatisierung (Vorschau) | MitwirkenderoderBesitzer | Ressourcengruppe | Browserautomatisierung |
| KI-Suche | Suchindexdatenmitwirkender, Suchdienstmitwirkender | KI-Suchressource | KI-Suchtool |
| Dateisuche | Mitwirkender an Speicherblobdaten | Project Speicherkonto | Dateisuche |
| Benutzerdefinierter Codedolmetscher (Vorschau) | Mitwirkender an Container Apps Managed Environments + Foundry-Besitzer | Abonnement- oder Ressourcengruppe | Benutzerdefinierter Codedolmetscher |
Integrationswerkzeuge
| Tool | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| OpenAPI-Werkzeug | MitwirkenderoderBesitzer | Gießereiprojekt | OpenAPI-Tool |
| MCP-Tool | MitwirkenderoderBesitzer | Gießereiprojekt | Modellkontextprotokolltool |
| Agent-zu-Agent (Vorschau) | MitwirkenderoderBesitzer | Foundry-Ressource | Agent-zu-Agenten |
| Azure Sprachdienste | Mitwirkender an Speicherblobdaten | Speicherkonto | Azure Spracherkennungstool |
Veröffentlichen von Agenten
Die Veröffentlichung fördert einen Agent aus einer Entwicklungsressource innerhalb eines Foundry-Projekts in eine verwaltete Agent-Anwendungsressource mit einem stabilen Endpunkt. Um einen Agent zu veröffentlichen, benötigen Sie die Rolle "Foundry Project Manager" im Ressourcenbereich "Foundry".
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Einen Agent als Agent-Anwendung veröffentlichen | Foundry-Projektmanager | Foundry-Ressource | Veröffentlichen und Freigeben von Agenten |
| Aufrufen einer veröffentlichten Agentanwendung | Foundry-Benutzer | Agentenanwendungsressource | Aufrufen von Agentanwendungen |
| Veröffentlichen eines Agents für Microsoft 365 und Teams | Foundry-Projektmanager | Gießereiprojekt | Veröffentlichen von Agents in Microsoft 365 und Teams |
| RBAC der Identität des veröffentlichten Agents erneut zuweisen | BesitzeroderBenutzerzugriffsadministrator | Zielressource | Agentidentitätskonzepte |
Important
Wenn Sie einen Agent veröffentlichen, erhält er eine neue eindeutige Entra-Agent-Identität. Berechtigungen, die der gemeinsam genutzten Identität des Projekts zugewiesen sind, werden nicht übertragen. Weisen Sie die RBAC-Rollen für alle nachgelagerten Ressourcen, auf die der Agent zugreift (Storage, Search, Key Vault), der neuen Agent-Identität neu zu. Ausführliche Informationen finden Sie unter Agent-Identitätskonzepte.
Bereitstellen und Verwalten von Modellen
Um ein Modell bereitzustellen, benötigen Sie die Rolle " Findry Account Owner " in der Foundry-Ressource. Einige Szenarien, z. B. Marketplace-Modelle oder bereitgestellter Durchsatz, erfordern höhere Rollen. In der folgenden Tabelle sind alle modellbezogenen Aufgaben und ihre Rollenanforderungen aufgeführt.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Stellen Sie ein Modell aus dem Katalog bereit | Besitzer des Foundry-Kontos | Foundry-Ressource | Modellbereitstellungen erstellen |
| Bereitstellen von Foundry-Modellen | Besitzer des Foundry-Kontos | Foundry-Ressource | Bereitstellen von Foundry-Modellen |
| Bereitgestellten Durchsatz bereitstellen | Besitzer des Foundry-Kontos | Foundry-Ressource | Bereitgestellter Durchsatz |
| Bereitstellen von Marketplace-Modellen | Contributor | Subscription | Bereitstellen von Foundry-Modellen |
| Fireworks-Modelle bereitstellen | Foundry Owner (Projekt) + Abonnement Mitwirkender | Abonnement und Projekt | Aktivieren von Feuerwerksmodellen |
| Optimieren eines Modells | Foundry-Besitzer (oderFoundry-Benutzer + Inhaber des Foundry-Kontos) | Foundry-Ressource | Rollenbasierte Zugriffssteuerung |
| Feinabgestimmtes Modell mandantenübergreifend bereitstellen | Foundry-Projektmanager | Quell- und Zielressourcen | Optimierung der Bereitstellung |
| Kontingente anzeigen | Besitzer des Foundry-Kontos | Subscription | Verwalten von Kontingenten |
| Anfordern von Kontingenterhöhungen | Contributor | Subscription | Verwalten von Kontingenten |
| Bearbeiten von Kontingenten | Besitzer des Foundry-Kontos | Foundry-Ressource und Abonnement | Verwalten von Kontingenten |
| Erstellen von Inhaltsblocklisten | Besitzer des Foundry-Kontos | Azure OpenAI-Ressource | Verwenden von Blocklisten |
Marketplace-Modellbereitstellungen erfordern Zugriff auf Abonnementebene, da sie Abrechnungsvereinbarungen erstellen. Feinabstimmung erfordert Foundry Owner, da dabei Trainingsaufträge erstellt werden, die Rechenleistung und Speicher verbrauchen. Stellen Sie vor der Bereitstellung eines Modells sicher, dass Ihr Abonnement über ausreichendes Kontingent für das Zielmodell und die Region verfügt – siehe Verwalten von Kontingenten.
Schrittweise Anleitungen zur Bereitstellung finden Sie unter Erstellen von Modellbereitstellungen.
Konfigurieren von Sicherheit und Netzwerk
Netzwerk- und Verschlüsselungskonfigurationen erfordern erhöhte Rollen für mehrere Ressourcen. Diese Konfigurationen umfassen die Foundry-Ressource, virtuelle Netzwerke, DNS-Zonen und Key Vault, sodass Sie in der Regel mehrere Rollen benötigen.
Private Endpunkte
Private Endpunkte beschränken den Zugriff auf Ihre Foundry-Ressource auf den Datenverkehr aus bestimmten virtuellen Netzwerken. Für die Konfiguration eines privaten Endpunkts sind Rollen für drei verschiedene Ressourcen erforderlich.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Erstellen eines privaten Endpunkts | MitwirkenderoderBesitzer | Foundry-Ressource | Konfigurieren eines privaten Links |
| Konfigurieren von VNet | Netzwerkmitwirkender | Virtuelles Netzwerk | Konfigurieren eines privaten Links |
| Konfigurieren der privaten DNS-Zone | Beitragender für private DNS-Zone | DNS zone | Konfigurieren eines privaten Links |
Schrittweise Anleitungen finden Sie unter Konfigurieren eines privaten Links.
Verwaltete virtuelle Netzwerke
Ein verwaltetes virtuelles Netzwerk isoliert Foundry-Ressourcen in einem von Foundry verwalteten Netzwerk. Diese Einrichtung vereinfacht die Netzwerkkonfiguration im Vergleich zur Bereitstellung Ihres eigenen VNet.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Konfigurieren von verwaltetem VNet | BesitzeroderMitwirkender | Foundry-Ressource | Verwaltetes virtuelles Netzwerk |
| RBAC Ressourcen in verwaltetem VNet zuweisen | BesitzeroderRollenbasierter Access Control Administrator | Zielressourcen | Verwaltetes virtuelles Netzwerk |
Netzwerksicherheitsperimeter
Ein Netzwerksicherheitsperimeter bietet eine zentrale Möglichkeit, den Netzwerkzugriff über mehrere Azure Ressourcen hinweg zu verwalten. Fügen Sie Ihre Foundry-Ressource zu einem vorhandenen Umkreis hinzu, um konsistente Netzwerkregeln zu erzwingen.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Hinzufügen von Foundry zum Netzwerksicherheitsperimeter (Vorschau) | Besitzer, MitwirkenderoderNetzwerkmitwirkender | Foundry-Ressource | Netzwerksicherheitsperimeter |
Vom Kunden verwaltete Schlüssel
Mithilfe von vom Kunden verwalteten Schlüsseln (CMK) können Sie Foundry-Daten mit Schlüsseln verschlüsseln, die Sie in Azure Key Vault steuern. CMK erfordert Rollen sowohl für die Key Vault als auch für die Foundry-Ressource, da Sie den verwalteten Identitätszugriff auf Ihren Schlüssel gewähren und dann die Ressource so konfigurieren, dass sie verwendet wird.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| RBAC für Key Vault zuweisen | BesitzeroderBenutzerzugriffsadministrator | Key Vault | Konfigurieren von kundenseitig verwalteten Schlüsseln |
| Key Vault Crypto User einer verwalteten Identität zuweisen | BesitzeroderAdministrator für Benutzerzugriff | Key Vault | Konfigurieren von kundenseitig verwalteten Schlüsseln |
| Konfigurieren der Verschlüsselung für die Foundry-Ressource | MitwirkenderoderBesitzer | Foundry-Ressource | Konfigurieren von kundenseitig verwalteten Schlüsseln |
Die vollständige Vorgehensweise finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln.
Key Vault-Verbindungen
Mit einer Key Vault Verbindung können Foundry-Projekte auf geheime Schlüssel, Zertifikate und Schlüssel zugreifen, die in Azure Key Vault gespeichert sind, ohne Anmeldeinformationen in Code einzubetten. Erstellen Sie eine Verbindung, wenn Ihre Agenten oder bereitgestellten Modelle zur Laufzeit API-Schlüssel oder Zertifikate abrufen müssen.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Erstellen einer Key Vault-Verbindung | Key Vault Mitwirkender + Key Vault Administrator | Key Vault | Speichern geheimer Schlüssel in Ihrem Azure Key Vault |
Leitplanken und Richtlinien einrichten
Richten Sie Leitplanken und Azure Policy-Zuweisungen ein, um einzuschränken, welche Modelle, Tools und Konfigurationen in Ihrer Foundry-Umgebung verfügbar sind. Sie benötigen Rollen auf Administratorebene, um diese Aufgaben auszuführen, da sie Governancegrenzen für alle Entwickler in einem Abonnement oder einer Ressourcengruppe erzwingen.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Leitplanken erstellen | Besitzer des Foundry-Kontos oder höher | Foundry-Ressource | Erstellen von Schutzläufen |
| Erstellen von Schutzschienenrichtlinien | BesitzeroderMitwirkender an Ressourcenrichtlinien | Abonnement- oder Ressourcengruppe | Erstellen von Schutzschienenrichtlinien |
| Erstellen von Modellbereitstellungsrichtlinien | BesitzeroderMitwirkender für Ressourcenrichtlinien | Abonnement- oder Ressourcengruppe | Richtlinie für die Modellbereitstellung |
| Erstellen benutzerdefinierter Richtliniendefinitionen | Ressourcenrichtlinienmitwirkender (geringste Berechtigung) oderBesitzer | Zielbereich | Erstellen benutzerdefinierter Richtliniendefinitionen |
| Konfigurieren Sie Drittanbieter-Leitplanken | Besitzer (Abonnement) + Key Vault Administrator | Abonnement und Key Vault | Drittanbieterintegrationen |
| Erzwingen von Tokenbeschränkungen über das AI-Gateway | Mitwirkender für API Management-DienstoderBesitzer | APIM-Ressource | Token-Limits erzwingen |
| Verwalten von Agenttools über das AI-Gateway | Mitwirkender für API-VerwaltungsdiensteoderBesitzer | APIM-Instanz | Verwalten von Agenttools |
Eine Schritt-für-Schritt-Anleitung zum Erstellen Ihres ersten Guardrails finden Sie unter Guardrails erstellen. Modellbereitstellungsrichtlinien finden Sie unter Modellbereitstellungsrichtlinie.
Verwalten von Compliance und Überwachung
Compliance- und Überwachungsaufgaben umfassen Azure RBAC-Rollen und Microsoft Entra Verzeichnisrollen. Diese Unterscheidung zu verstehen ist wichtig – Sie weisen Verzeichnisrollen im Microsoft Entra Admin Center zu, nicht im Bereich "Access Control (IAM)" des Azure-Portals.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Aktivieren von Microsoft Defender für Cloud | SicherheitsadministratoroderBesitzer | Subscription | Verwalten von Compliance und Sicherheit |
| Konfigurieren von Microsoft Purview | Besitzer des Foundry-Kontos | Foundry-Ressource | Verwalten von Compliance und Sicherheit |
| Konfigurieren von Diagnoseeinstellungen | Überwachung von Mitwirkenden | Foundry-Ressource | Monitormodelle |
| Konfigurieren des Tracings für Application Insights | Mitwirkender oder höher | Application Insights-Ressource | Tracing-Agent-Framework |
| Verwalten der Agenteninfrastruktur (Entra-Admin) | Globaler AdministratoroderMicrosoft Entra KI-Administrator | Microsoft Entra-Mandant | Verwalten der Agentinfrastruktur als Entra-Administrator |
| Konfigurieren von Richtlinien für bedingten Zugriff | Administrator für bedingten Zugriff | Microsoft Entra ID | Bewährte Methoden für MCP-Sicherheit |
Important
Die Erhöhung des globalen Administrators weist die Rolle Benutzerzugriffsadministrator im Stammbereich (/) für alle Abonnements zu. Entfernen Sie diese Erhöhung, nachdem Sie die erforderlichen Aufgaben abgeschlossen haben. Ausführliche Informationen finden Sie unter Verwalten der Agentinfrastruktur als Entra-Administrator.
Eine Schritt-für-Schritt-Anleitung zum Einrichten der Überwachung finden Sie unter Modelle überwachen und Framework für Ablaufverfolgungs-Agenten.
Konfigurieren des Speicher- und Datenebenenzugriffs
Foundry-Agenten, Auswertungen und verschiedene Tools erfordern Datenebenenrollen für Speicher- und Suchressourcen. Weisen Sie diese Rollen der verwalteten Identität des Foundry-Projekts zu – nicht menschlichen Benutzern –, damit der Dienst zur Laufzeit auf die zugrunde liegenden Ressourcen zugreifen kann.
Die folgende Tabelle enthält eine Spalte "Zugewiesen" , da diese Rollen für verwaltete Identitäten und nicht für menschliche Benutzer gelten.
| Aufgabe | Mindestrolle, die zugewiesen werden soll | Zugewiesen an | Zielressource | Details |
|---|---|---|---|---|
| BYO-Speicher für Gießerei | Mitwirkender an Speicherblobdaten | Vom Projekt verwaltete Identität | Speicherkonto | Herstellen einer Verbindung mit Ihrem eigenen Speicher |
| BYO-Speicher für Spracherkennung/Sprache | Mitwirkender an Speicherblobdaten | Foundry-verwaltete Identität | Speicherkonto | Mit Ihrem eigenen Speicher für Sprach-/Sprachdienste verbinden |
| Ausführen von Auswertungen mit Entra ID Speicher | Besitzer von Speicherblobdaten | Benutzer- und Projektressource | Speicherkonto | Auswertungsregionen und Grenzwerte |
| Gießerei IQ-Indizierung (Vorschau) | Suchindexdaten-Beitragender | Projektverwaltete Identität | KI-Suchressource | Foundry IQ-Verbindung |
Note
Das Zuweisen von Datenebenenrollen wie "Storage Blob Data Contributor " zu einer verwalteten Identität erfordert Besitzer oder Benutzerzugriffsadministrator für die Zielressource.
Einrichten der Notfallwiederherstellung
Die Notfallwiederherstellung für Foundry umfasst zwei Szenarien: das Failover der Foundry-Ressource selbst (hohe Verfügbarkeit) und das Failover der zugrunde liegenden Ressourcen der Agents. Der Agent-Dienst-DR ist besonders rollenintensiv, da er zusätzlich zur Foundry-Ressource Zugriff auf Cosmos DB, AI Search und Storage benötigt.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Konfigurieren von Hochverfügbarkeit | BesitzeroderMitwirkender + Benutzerzugriffsadministrator | Ressourcengruppe | Hohe Verfügbarkeit und Ausfallsicherheit |
| Agentendienst DR (Bediener) | BesitzeroderMitwirkender + Mitwirkender für DocumentDB-Konto + Mitwirkender für Suchdienst + Mitwirkender für Storage-Blobdaten | Ressourcengruppe und zugrunde liegende Ressourcen | Notfallwiederherstellung des Agentendienstes |
| Agent-Dienst DR (Plattform) | MitwirkenderoderBesitzer + Mitwirkender für Speicherkonten | Gießereiressourcen und Speicher | Notfallwiederherstellung vom Ausfall der Plattform |
Ausführliche DR-Verfahren finden Sie unter Hohe Verfügbarkeit und Ausfallsicherheit und Notfallwiederherstellung des Agent-Diensts.
Konfigurieren von Verbindungen und Integrationen
Foundry integriert sich in API-Verwaltung, MCP-Server und externe Dienste. Die meisten Integrationsaufgaben erfordern mindestens einen Mitwirkenden, da sie Azure Ressourcen erstellen oder ändern. Das Verknüpfen von Foundry mit einem AI-Gateway erfordert die Rolle " Besitzer des Foundry-Kontos" , da sie die Konfiguration des Kontos ändert.
| Aufgabe | Minimale Rolle | Geltungsbereich | Details |
|---|---|---|---|
| Hinzufügen von Verbindungen zu Foundry | Foundry-Benutzer, Foundry-Besitzer, oderBeitragender | Gießereiprojekt | Erstellen einer Verbindung |
| KI-Gateway (APIM) aktivieren | MitwirkenderoderBesitzer | Ressourcengruppe oder Abonnement | Aktivieren des KI-API-Verwaltungsgateways |
| Verknüpfen von Foundry mit AI-Gateway | Foundry-KontoinhaberoderFoundry-Inhaber | Foundry-Ressource | Aktivieren des KI-API-Verwaltungsgateways |
| Konfigurieren des MCP-Server-Zugriffs | Mitwirkender oder höher | Gießereiprojekt | Erste Schritte mit MCP |
| Erstellen Ihres eigenen MCP-Servers | Contributor | Ressourcengruppe | Erstellen Ihres eigenen MCP-Servers |
| Verwalten des MCP-Zugriffs (Rollenzuweisung) | BesitzeroderAdministrator für Benutzerzugriff | Zielressource | Bewährte Methoden für MCP-Sicherheit |
| Konfigurieren von Claude Code | MitwirkenderoderBesitzer | Ressourcengruppe | Konfigurieren von Claude Code |
| Verwalten von Tags für Ressourcen | BeitragenderoderTag-Beitragender | Zielbereich | Deaktivieren von Vorschaufeatures |
Kurzübersicht: Rollenzusammenfassung
In der folgenden Tabelle sind die primären Rollen mit erhöhten Rechten zusammengefasst, und wenn Administratoren sie benötigen. Verwenden Sie sie, um schnell zu identifizieren, welche Rolle für eine bestimmte Aufgabenkategorie zugewiesen werden soll.
| Role | Wann es erforderlich ist |
|---|---|
| Owner | Rollenzuweisungen, benutzerdefinierte RBAC-Rollen, Richtlinienerstellung, Vorgänge auf Abonnementebene |
| Contributor | Ressourcenbereitstellung, Marketplace-Modellbereitstellung, MCP-Schreibvorgänge, private Endpunkte |
| Besitzer des Foundry-Kontos | Erstellen von Foundry-Ressourcen und Projekten, Modellbereitstellung, Kontingentverwaltung, Inhaltsblocklisten, Guardrails, Purview-Integration, bedingte Rollenzuweisung |
| Foundry-Projektmanager | Agents veröffentlichen, bedingte Rollenzuweisung für Foundry User |
| Inhaber der Gießerei | Feinabstimmung, Bereitstellung gehosteter Agenten, kombinierte Vorgänge der Daten- und Steuerungsebene |
| Benutzerzugriffsadministrator | Rollen zuweisen, wenn Sie nicht über die Besitzerrolle verfügen; CMK Key Vault RBAC; Zugriff auf die Containerregistrierung |
| Mitwirkender/Besitzer von Speicher-BLOB-Daten | Agent-Sicherungsspeicher, Auswertungen, BYO-Speicher, Dateisuchtool |
| Suchindexdaten-Beitragender | Suchgestützte KI-Agententools, Foundry IQ-Indexierung |
| Key Vault-Administrator | Key Vault Verbindungen, Schutzschienen von Drittanbietern |
| Mitwirkender an Ressourcenrichtlinien | Azure Policy-Zuweisungen für Modellbereitstellungen und benutzerdefinierte Richtlinien |
| Globaler Administrator | Agent-Governance auf Mandantenebene, Zugriffserweiterung |
| Sicherheitsadministrator | Microsoft Defender for Cloud |
| Überwachung von Mitwirkenden | Diagnoseeinstellungen |
| Netzwerkmitwirkender | VNet-Konfiguration, Netzwerksicherheitsperimeter |
Häufige Berechtigungsfehler beheben
Wenn Entwickler auf Berechtigungsfehler stoßen, verwenden Sie die Aufgabentabellen in diesem Artikel, um die erforderliche Rolle zu identifizieren. Die folgende Tabelle ordnet häufige Fehlermeldungen wahrscheinlich Ursachen und Lösungen zu.
| Fehlermeldung | Wahrscheinliche Ursache | Resolution |
|---|---|---|
AuthorizationFailed oder The client does not have authorization to perform action |
Fehlende Rolle für die Steuerungsebene (Besitzer, Mitwirkender oder eine ressourcenspezifische Rolle) | Identifizieren Sie die Aufgabe in diesem Artikel, notieren Sie die minimale Rolle und den minimalen Umfang und weisen Sie dann die Rolle zu. |
| Die Erstellung oder Aktualisierung des Agents schlägt selbst mit Besitzer/Mitwirkender fehl | Fehlende Foundry-Data-Plane-Rolle im Projekt | Weisen Sie auf Projektebene Foundry User, Foundry Project Manager oder Foundry Owner zu. Siehe Setup des gehosteten Agents. |
Creating that role assignment requires Microsoft.Authorization/roleAssignments/write (oder gleichwertig) |
Die anfragende Person hat Foundry Project Manager oder Foundry-Kontoinhaber, muss jedoch Rollen zuweisen, die über die zulässige Beschränkung auf Foundry User hinausgehen. | Verwenden Sie Besitzer oder Administrator für rollenbasierte Zugriffssteuerung im Bereich der Zielressource (z. B. ACR oder Log Analytics). |
ForbiddenError zur Modellbereitstellung |
Fehlender Besitzer des Foundry-Kontos in der Foundry-Ressource | Siehe Bereitstellen und Verwalten von Modellen. |
LinkedAuthorizationFailed während der Ressourcenerstellung |
Fehlende Berechtigungen für eine verknüpfte Ressource (Speicher, Key Vault oder Suche) | Informationen zu dienstübergreifenden Rollenanforderungen finden Sie unter Agenteninfrastruktur konfigurieren. |
Agent gibt 403 zur Laufzeit zurück |
Fehlende Datenebenenrolle in einer Sicherungsressource | Überprüfen Sie die Rollenzuweisungen verwalteter Identitäten in der Tabelle Standard-Agent-Setup. |
Legacy Azure AI Developer-Rolle zugewiesen, aber Foundry-Aufgaben schlagen weiterhin fehl |
Die Rollenzuweisung für Legacy-Hub-Projekte lässt sich nicht den aktuellen Anforderungen an die Foundry-Rolle zuordnen. | Verwenden Sie die Rollenzuordnungen in diesem Artikel, und weisen Sie die erforderliche Rolle im richtigen Bereich für den fehlerhaften Vorgang zu. |
| Schaltfläche "Agent veröffentlichen" ist deaktiviert. | Foundry-Projektmanager fehlt im Foundry-Ressourcenbereich | Weisen Sie Foundry-Projektmanager auf der Ebene der Foundry-Ressource (Konto) zu, nicht nur auf Projektebene. Siehe Veröffentlichen von Agents. |
RoleAssignmentExists |
Rolle, die bereits im selben Bereich zugewiesen ist | Keine Aktion erforderlich. |
Modellname oder Regionsfehler (z. B InvalidModelName. ) |
Modell nicht in der ausgewählten Region verfügbar | Überprüfen Sie die Verfügbarkeit von Modellregionen , und stellen Sie sie in einer unterstützten Region erneut zur Anwendung. |
Kontingentfehler (z. B. InsufficientQuota) |
Die Bereitstellung überschreitet das TPM-Kontingent des Abonnements für das Modell/die Region. | Unter Kontingente verwalten können Sie die aktuelle Nutzung anzeigen und Erhöhungen beantragen. |
Cosmos DB Built-in Data Contributor in IAM nicht gefunden |
Cosmos DB-Datenebenen-Rollen sind im Portalbereich Zugriffssteuerung (IAM) nicht sichtbar. | Weisen Sie diese Rolle über die Azure CLI (az cosmosdb sql role assignment create) oder Bicep zu. Siehe den HINWEIS zu Einrichtung des Standard-Agenten für Details. |
Could not resolve host oder DNS-Auflösungsfehler nach der Einrichtung eines privaten Endpunkts |
Privates DNS Zone, die nicht mit dem virtuellen Netzwerk verknüpft ist, oder DNS-Einträge, die nicht weitergegeben wurden | Überprüfen Sie, ob die private DNS-Zone mit dem richtigen VNet verknüpft ist. Siehe "Konfigurieren eines privaten Links". |
Authorization_RequestDenied von Microsoft Graph oder Entra ID |
Fehlende Microsoft Entra Verzeichnisrolle (z. B. globaler Administrator oder Microsoft Entra AI-Administrator) | Entra-Verzeichnisrollen werden im Microsoft Entra Admin Center zugewiesen, nicht in Azure RBAC. Siehe Verwalten von Compliance und Überwachung. |
Tip
Rollenzuweisungen können bis zu fünf Minuten dauern, bis sie verteilt werden. Bitten Sie den Entwickler, sich abzumelden und sich wieder anzumelden, nachdem Sie die Rolle zugewiesen haben. Allgemeine Azure RBAC-Problembehandlung finden Sie unter Problembehandlung für Azure RBAC.
Verwandte Inhalte
- Rollenbasierte Zugriffskontrolle für Microsoft Foundry
- Authentifizierung und Autorisierung
- Planen des Rollouts
- Azure-Rollen zuweisen
- Verwalten von Compliance und Sicherheit
- Verwalten der Agentinfrastruktur als Entra-Administrator
- Verwalten von Kontingenten
- Monitormodelle
- Einrichten der Agentressourcen
- Konfigurieren eines privaten Links
- Probleme mit Azure RBAC beheben