Aufgaben mit erhöhten Rollen in Microsoft Foundry

Entwickler, die über die Rolle " Foundry User " im Bereich "Foundry" oder "Project" verfügen, können Agents erstellen, Rückschlüsse ausführen und die meisten Foundry-Features verwenden. Viele Administrative Aufgaben erfordern jedoch erhöhte Rollen wie Besitzer, Mitwirkender, Besitzer des Foundry-Kontos oder andere spezielle Rollen.

In diesem Artikel wird erläutert, welche erweiterten Rollen für jeden Bereich der Gießereiverwaltung erforderlich sind, warum diese Rollen erforderlich sind, und Links zu den detaillierten Verfahren. Verwenden Sie sie als Referenz, wenn Entwickler auf Berechtigungsfehler stoßen oder Rollenzuweisungen für eine neue Umgebung planen.

Note

Vorschaufunktionen, gehostete Optionen und bestimmte zugrunde liegende Ressourcen können zusätzliche Rollen oder Berechtigungen auf der Datenebene erfordern. Überprüfen Sie die verknüpften Artikel auf die genauen Anforderungen in Ihrem Szenario.

Hintergrundinformationen zu Rollendefinitionen in Foundry finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Foundry.

Wichtige Konzepte

  • Steuerungsebene – Vorgänge, die Azure Ressourcen verwalten (Erstellen, Löschen, Konfigurieren). Durch Azure RBAC-Rollen wie Besitzer und Mitwirkende geregelt.
  • Datenebene – Vorgänge, die die Laufzeitfunktionen einer Ressource verwenden (Leseblobs, Abfrageindizes). Geregelt durch Datenrollen wie Storage Blob Data Contributor.
  • Verwaltete Identität — Eine automatisch verwaltete Microsoft Entra-Identität, die sich ohne gespeicherte Anmeldeinformationen bei zugrunde liegenden Ressourcen authentifiziert. In Foundry ist die vom Projekt verwaltete Identität die Identität, die Ihr Projekt zur Laufzeit verwendet. Einige Setups basieren auch auf der freigegebenen Identität auf Kontoebene für den Ressourcenzugriff. Verwenden Sie den Identitätsnamen, der Ihrem Szenario entspricht, anstatt die beiden Begriffe als austauschbar zu behandeln.
  • Foundry-Ressource – Die Azure Ressource (vom TypMicrosoft.CognitiveServices/accounts), die Ihre Foundry-Projekte hosten.
  • Bereich – Die Ebene, auf der eine Rollenzuweisung gilt: Abonnement, Ressourcengruppe, Ressource oder Projekt. Rollen, die einem höheren Geltungsbereich zugewiesen sind, werden nach unten vererbt.

Übersicht über die Umgebungseinrichtung

Wenn Sie eine neue Foundry-Umgebung bereitstellen, folgen die Aufgaben dieser allgemeinen Reihenfolge:

  1. Erstellen Sie eine Foundry-Ressource – Erforderlich vor allen anderen Vorgängen.
  2. Erstellen Sie ein oder mehrere Projekte — Agenten, Modelle und Verbindungen befinden sich in Projekten.
  3. Zuweisen von Rollen zu Entwicklern – Entwickler benötigen Foundry User für den allgemeinen Zugriff. Für die Modellbereitstellung ist eine separate Rolle erforderlich.
  4. Bereitstellen von Modellen – Erfordert Besitzer des Foundry-Kontos.
  5. Konfigurieren sie die Agentinfrastruktur (falls erforderlich).
  6. Konfigurieren Sie Netzwerk (falls erforderlich).
  7. Richten Sie Schutzschienen und Richtlinien ein.
  8. Überwachung aktivieren.

Tip

Kleines Team (1-5 Entwickler)? Weisen Sie sich selbst im Geltungsbereich der Ressourcengruppe die Rolle Besitzer und jedem Entwickler im Geltungsbereich der Foundry-Ressource die Rolle Foundry-Benutzer zu. Diese Aufgabe umfasst die meisten administrativen Aufgaben. Verwenden Sie für größere Teams Microsoft Entra Gruppen und Bereichsrollen pro Projekt.

In den verbleibenden Abschnitten werden die Rollenanforderungen für jeden Bereich erläutert. Eine Zusammenfassung aller Rollen mit erhöhten Rechten finden Sie unter Kurzübersicht: Rollenzusammenfassung.

Erstellen und Konfigurieren von Foundry-Ressourcen

Das Erstellen von Foundry-Ressourcen und -Projekten erfordert Steuerungsebenenberechtigungen, die Entwickler normalerweise nicht haben. Diese Vorgänge ändern Azure Resource Manager Objekte, sodass sie Rollen wie Mitwirkender oder Besitzer des Foundry-Kontos auf Abonnement- oder Ressourcengruppenebene benötigen.

Aufgabe Minimale Rolle Geltungsbereich Details
Erstellen einer Foundry-Ressource Mitwirkender, Inhaber des Foundry-Kontos, oderFoundry-Inhaber Abonnement- oder Ressourcengruppe Erstellen Ihrer ersten Ressource
Erstellen eines Foundry-Projekts Mitwirkender, Inhaber des Foundry-Kontos, oderFoundry-Inhaber Foundry-Ressource Erstellen und Verwalten von Projekten
Upgrade beim Azure OpenAI-Dienst BesitzeroderMitwirkender Azure OpenAI-Ressource Upgrade von Azure OpenAI Service
Wiederherstellen oder Löschen gelöschter Konten Contributor Subscription Wiederherstellen oder Löschen gelöschter Ressourcen
Erstellen von Ressourcen mithilfe von Bicep MitwirkenderoderBesitzer Ressourcengruppe Erstellen von Ressourcen mithilfe der Bicep-Vorlage

Schrittweise Anleitungen mithilfe der Azure CLI, Bicep oder des Portals finden Sie unter Erstellen Ihrer ersten Ressourceund Erstellen und Verwalten von Projekten.

Weisen Sie Teammitgliedern Rollen zu

Um einem Benutzer eine beliebige Rolle zuzuweisen, benötigen Sie die Rolle "Besitzer" oder " Benutzerzugriffsadministrator " im Zielbereich. Die Rollen "Foundry Account Owner" und "Foundry Project Manager" können die Rolle "Foundry User" nur unter bestimmten Bedingungen zuweisen.

Note

Eine im Ressourcengruppenbereich zugewiesene Rolle gilt für alle Foundry-Ressourcen und -Projekte innerhalb dieser Gruppe. Weisen Sie den engsten Geltungsbereich zu, der Ihren Anforderungen entspricht.

Aufgabe Minimale Rolle Geltungsbereich Details
Foundry-Benutzer Entwicklern zuweisen BesitzeroderAdministrator für Benutzerzugriff Gießereiressource oder Projekt Rollenbasierte Zugriffssteuerung
Foundry User zuweisen (bedingt) Inhaber des Foundry-KontosoderFoundry-Projektmanager Gießereiressource oder Projekt Rollenbasierte Zugriffssteuerung
Erstellen Sie benutzerdefinierte RBAC-Rollen Owner Abonnement- oder Ressourcengruppe Rollenbasierte Zugriffssteuerung
Zuweisen benutzerdefinierter Rollen Benutzerzugriffsadministratoroderrollenbasierte Access Control Administrator Zielbereich Rollenbasierte Zugriffssteuerung
Rollen mit Microsoft Entra-Gruppen verwalten BesitzeroderBenutzerzugriffsadministrator Zielbereich Rollenbasierte Zugriffssteuerung

Tip

Verwenden Sie Microsoft Entra Gruppen, um Rollenzuweisungen zu vereinfachen. Erstellen Sie eine Sicherheitsgruppe, weisen Sie sie der entsprechenden Rolle zu, und fügen Sie Entwickler als Mitglieder hinzu. Eine exemplarische Vorgehensweise finden Sie unter Rollenbasierte Zugriffssteuerung .

Überlegungen zum Bereich

  • Weisen Sie die Rolle "Foundry User" im Geltungsbereich der Foundry-Ressource zu, um Zugriff auf alle Projekte in der Ressource zu gewähren.
  • Weisen Sie auf Projektebene zu, um den Zugriff auf ein einzelnes Projekt zu beschränken.
  • Für Organisationen, die Microsoft Entra Privileged Identity Management (PIM) verwenden, sollte erwogen werden, Zuweisungen zu Rollen mit erhöhten Rechten als berechtigt statt als dauerhaft festzulegen. Zulässige Zuweisungen erfordern eine Just-in-Time-Aktivierung, wodurch die Gefährdung durch dauerhafte privilegierte Berechtigungen reduziert wird.

Schritt-für-Schritt-Zuweisungsverfahren finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Foundry und Assign Azure Rollen.

Note

Rollenzuweisungen können bis zu fünf Minuten dauern, bis sie verteilt werden. Wenn ein Entwickler direkt nach der Zuweisung meldet, dass der Zugriff verweigert wird, bitten Sie ihn, zu warten und es erneut zu versuchen. Siehe Beheben häufiger Berechtigungsfehler für häufige Ursachen.

Konfigurieren der Agentinfrastruktur

Die Einrichtung von Agenten ist der Bereich in Foundry mit dem höchsten Berechtigungsbedarf. Die erforderlichen Rollen hängen davon ab, welche Setupoption Sie auswählen.

Einrichtungsoptionen Auswählen, wann Voraussetzungen Kompromiss
Standard Sie benötigen volle Kontrolle über Datenresidenz und Ressourcenbereitstellung Bereitgestellte Cosmos DB-, KI-Suche- und Speicherressourcen in Ihrer Ressourcengruppe Sie verwalten die Bereitstellung und RBAC für Cosmos DB, Search und Storage
Gehostet Sie möchten den schnellsten Pfad mit minimalem Setup Keine — Foundry stellt unterstützende Ressourcen für Sie bereit Foundry verwaltet Sicherungsressourcen; weniger Netzwerksteuerung
BYO-Ressourcen Sie verfügen bereits über Cosmos DB, Search oder Storage mit spezifischen Complianceanforderungen. Vorhandene Cosmos DB-, KI-Such- oder Speicherressourcen mit konfigurierter Netzwerkzugriff Sie fügen vorhandene Ressourcen an und verwalten deren RBAC

Überprüfen Sie den Unterabschnitt, der Ihrer Setupoption entspricht. Überspringen Sie die anderen – Sie können später zu ihnen zurückkehren, wenn sich Ihre Anforderungen ändern.

Standard-Agent-Setup

Das Standard-Agent-Setup erfordert, dass Sie Ihre eigenen Azure Cosmos DB, Azure KI-Suche und Azure Storage Ressourcen bereitstellen und verwalten. Dieser Ansatz gibt Ihnen die volle Kontrolle über die Datenresidenz, erfordert jedoch die Zuweisung von Datenebenenrollen an die verwaltete Identität des Projekts für jede zugrunde liegende Ressource.

Aufgabe Minimale Rolle Geltungsbereich Details
Zuweisen von dienstübergreifenden Rollen (Cosmos DB, Suche, Speicher) BesitzeroderRollenbasierter Access Control Administrator Ressourcengruppe Standard-Agent-Setup
Bereitstellen von Agentressourcen Foundry-KontoinhaberoderInhaber Subscription Einrichten der Agentressourcen

Weisen Sie der verwalteten Identität des Foundry-Projekts auf den zugrunde liegenden Ressourcen die folgenden Data-Plane-Rollen zu:

Resource Role
Azure Cosmos DB (ein Microsoft-Datenbankdienst) Integrierter Cosmos DB-Datenmitwirkender
Azure KI-Suche Suchindexdatenmitwirkender, Suchdienstmitwirkender
Azure Storage (azureml-blobstore) Mitwirkender an Speicherblobdaten
Azure Storage (agents-blobstore) Besitzer von Speicherblobdaten

Note

Cosmos DB Built-in Data Contributor ist eine Cosmos DB-Datenebenenrolle. Weisen Sie es über die Azure CLI (az cosmosdb sql role assignment create) oder Bicep zu – nicht über das standardmäßige Blatt Access control (IAM). Ausführliche Informationen finden Sie unter Konfigurieren der rollenbasierten Zugriffssteuerung für Azure Cosmos DB.

Informationen zum vollständigen Bereitstellungsverfahren und Bicep Vorlagen finden Sie unter Standard-Agent-Setup.

Einrichtung des gehosteten Agents

Das Setup des gehosteten Agents ist weiterhin der schnellste Pfad für die Agent-Laufzeitinfrastruktur, verfügt jedoch über explizite Ressourcen- und RBAC-Voraussetzungen. Zusätzlich zu Ihrem Foundry-Konto und Ihrem Foundry-Projekt sollten Sie auch einen Azure Container Registry (ACR), Application Insights und einen verknüpften Log Analytics-Arbeitsbereich einplanen.

Aufgabenbereich Minimale Rolle Geltungsbereich Hinweise
Erstellen von ACR-, Application Insights- und Log Analytics-Ressourcen MitwirkenderoderBesitzer Ressourcengruppe Erforderlich, wenn Ihr gehosteter Bereitstellungsfluss diese Ressourcen erstellt.
Gehostete Agents und Agentversionen erstellen (Datenebene) Foundry User, Foundry Project ManageroderFoundry Owner Gießereiprojekt Besitzer/Der Mitwirkende allein ist nicht ausreichend für Erstellungs- oder Aktualisierungsvorgänge im Datenebenen-Agent.
Erstellen von Projektverbindungen Foundry Project Manager, Foundry Account Owner, Foundry Owner, Mitarbeiter, oderInhaber Gießereiprojekt Erforderlich für ACR- und Observability-Verbindungen.
Zuweisen einer ACR-Pull-/Leserolle zu projektverwalteter Identität BesitzeroderRollenbasierter Access Control Administrator ACR-Ressource Leser des Container Registry-Repositorys (oder AcrPull) zuweisen.
Images zur Bereitstellung an ACR übertragen Container Registry Repository Writer (oder AcrPush) ACR-Ressource Erforderlich für den Benutzer oder Prinzipal, der Agentimages pusht.
Agent-Telemetrie zur Auswertung lesen Log Analytics Datenleser Log Analytics-Arbeitsbereich Wird von der vom Projekt verwalteten Identität für Auswertungen benötigt, die Arbeitsbereichsdaten lesen.

Note

Foundry Project Manager und Foundry Account Owner können in ihrem eingeschränkten Rollenzuweisungsbereich nur die Rolle Foundry User zuweisen. Verwenden Sie Besitzer oder Role Based Access Control Administrator, wenn Sie Rollenzuweisungen für externe Ressourcen wie ACR oder Log Analytics benötigen.

Ausführliche Anweisungen zu Berechtigungen des gehosteten Agents finden Sie unter Referenz zu Berechtigungen für gehostete Agent.

Schrittweise Anleitungen finden Sie unter Bereitstellen eines gehosteten Agents.

Eigene Ressourcen verwenden

Verwenden Sie diese Option, wenn Sie bereits über Azure Cosmos DB, KI-Suche oder Speicherressourcen mit bestimmten Complianceanforderungen verfügen. Sie fügen vorhandene Ressourcen an ein Foundry-Projekt an und weisen die erforderlichen Datenebenenrollen der verwalteten Identität des Projekts zu.

Aufgabe Minimale Rolle Geltungsbereich Details
Anfügen eigener Ressourcen Foundry-KontoinhaberoderInhaber Subscription Verwenden Ihrer eigenen Azure-Ressourcen
Rollen einer verwalteten Identität zuweisen BesitzeroderAdministrator für Benutzerzugriff Zielressource Verwenden Ihrer eigenen Azure-Ressourcen

Ausführliche Anweisungen finden Sie unter Verwenden Ihrer eigenen Azure Ressourcen.

Agenten-Tools mit höheren Anforderungen

Mehrere Agenttools erfordern einen Mitwirkenden oder höher, um ihre Sicherungsressourcen bereitzustellen oder zu konfigurieren.

Infrastrukturtools

Tool Minimale Rolle Geltungsbereich Details
Bing-Erdung MitwirkenderoderBesitzer Abonnement- oder Ressourcengruppe Bing-Tools
Browserautomatisierung (Vorschau) MitwirkenderoderBesitzer Ressourcengruppe Browserautomatisierung
KI-Suche Suchindexdatenmitwirkender, Suchdienstmitwirkender KI-Suchressource KI-Suchtool
Dateisuche Mitwirkender an Speicherblobdaten Project Speicherkonto Dateisuche
Benutzerdefinierter Codedolmetscher (Vorschau) Mitwirkender an Container Apps Managed Environments + Foundry-Besitzer Abonnement- oder Ressourcengruppe Benutzerdefinierter Codedolmetscher

Integrationswerkzeuge

Tool Minimale Rolle Geltungsbereich Details
OpenAPI-Werkzeug MitwirkenderoderBesitzer Gießereiprojekt OpenAPI-Tool
MCP-Tool MitwirkenderoderBesitzer Gießereiprojekt Modellkontextprotokolltool
Agent-zu-Agent (Vorschau) MitwirkenderoderBesitzer Foundry-Ressource Agent-zu-Agenten
Azure Sprachdienste Mitwirkender an Speicherblobdaten Speicherkonto Azure Spracherkennungstool

Veröffentlichen von Agenten

Die Veröffentlichung fördert einen Agent aus einer Entwicklungsressource innerhalb eines Foundry-Projekts in eine verwaltete Agent-Anwendungsressource mit einem stabilen Endpunkt. Um einen Agent zu veröffentlichen, benötigen Sie die Rolle "Foundry Project Manager" im Ressourcenbereich "Foundry".

Aufgabe Minimale Rolle Geltungsbereich Details
Einen Agent als Agent-Anwendung veröffentlichen Foundry-Projektmanager Foundry-Ressource Veröffentlichen und Freigeben von Agenten
Aufrufen einer veröffentlichten Agentanwendung Foundry-Benutzer Agentenanwendungsressource Aufrufen von Agentanwendungen
Veröffentlichen eines Agents für Microsoft 365 und Teams Foundry-Projektmanager Gießereiprojekt Veröffentlichen von Agents in Microsoft 365 und Teams
RBAC der Identität des veröffentlichten Agents erneut zuweisen BesitzeroderBenutzerzugriffsadministrator Zielressource Agentidentitätskonzepte

Important

Wenn Sie einen Agent veröffentlichen, erhält er eine neue eindeutige Entra-Agent-Identität. Berechtigungen, die der gemeinsam genutzten Identität des Projekts zugewiesen sind, werden nicht übertragen. Weisen Sie die RBAC-Rollen für alle nachgelagerten Ressourcen, auf die der Agent zugreift (Storage, Search, Key Vault), der neuen Agent-Identität neu zu. Ausführliche Informationen finden Sie unter Agent-Identitätskonzepte.

Bereitstellen und Verwalten von Modellen

Um ein Modell bereitzustellen, benötigen Sie die Rolle " Findry Account Owner " in der Foundry-Ressource. Einige Szenarien, z. B. Marketplace-Modelle oder bereitgestellter Durchsatz, erfordern höhere Rollen. In der folgenden Tabelle sind alle modellbezogenen Aufgaben und ihre Rollenanforderungen aufgeführt.

Aufgabe Minimale Rolle Geltungsbereich Details
Stellen Sie ein Modell aus dem Katalog bereit Besitzer des Foundry-Kontos Foundry-Ressource Modellbereitstellungen erstellen
Bereitstellen von Foundry-Modellen Besitzer des Foundry-Kontos Foundry-Ressource Bereitstellen von Foundry-Modellen
Bereitgestellten Durchsatz bereitstellen Besitzer des Foundry-Kontos Foundry-Ressource Bereitgestellter Durchsatz
Bereitstellen von Marketplace-Modellen Contributor Subscription Bereitstellen von Foundry-Modellen
Fireworks-Modelle bereitstellen Foundry Owner (Projekt) + Abonnement Mitwirkender Abonnement und Projekt Aktivieren von Feuerwerksmodellen
Optimieren eines Modells Foundry-Besitzer (oderFoundry-Benutzer + Inhaber des Foundry-Kontos) Foundry-Ressource Rollenbasierte Zugriffssteuerung
Feinabgestimmtes Modell mandantenübergreifend bereitstellen Foundry-Projektmanager Quell- und Zielressourcen Optimierung der Bereitstellung
Kontingente anzeigen Besitzer des Foundry-Kontos Subscription Verwalten von Kontingenten
Anfordern von Kontingenterhöhungen Contributor Subscription Verwalten von Kontingenten
Bearbeiten von Kontingenten Besitzer des Foundry-Kontos Foundry-Ressource und Abonnement Verwalten von Kontingenten
Erstellen von Inhaltsblocklisten Besitzer des Foundry-Kontos Azure OpenAI-Ressource Verwenden von Blocklisten

Marketplace-Modellbereitstellungen erfordern Zugriff auf Abonnementebene, da sie Abrechnungsvereinbarungen erstellen. Feinabstimmung erfordert Foundry Owner, da dabei Trainingsaufträge erstellt werden, die Rechenleistung und Speicher verbrauchen. Stellen Sie vor der Bereitstellung eines Modells sicher, dass Ihr Abonnement über ausreichendes Kontingent für das Zielmodell und die Region verfügt – siehe Verwalten von Kontingenten.

Schrittweise Anleitungen zur Bereitstellung finden Sie unter Erstellen von Modellbereitstellungen.

Konfigurieren von Sicherheit und Netzwerk

Netzwerk- und Verschlüsselungskonfigurationen erfordern erhöhte Rollen für mehrere Ressourcen. Diese Konfigurationen umfassen die Foundry-Ressource, virtuelle Netzwerke, DNS-Zonen und Key Vault, sodass Sie in der Regel mehrere Rollen benötigen.

Private Endpunkte

Private Endpunkte beschränken den Zugriff auf Ihre Foundry-Ressource auf den Datenverkehr aus bestimmten virtuellen Netzwerken. Für die Konfiguration eines privaten Endpunkts sind Rollen für drei verschiedene Ressourcen erforderlich.

Aufgabe Minimale Rolle Geltungsbereich Details
Erstellen eines privaten Endpunkts MitwirkenderoderBesitzer Foundry-Ressource Konfigurieren eines privaten Links
Konfigurieren von VNet Netzwerkmitwirkender Virtuelles Netzwerk Konfigurieren eines privaten Links
Konfigurieren der privaten DNS-Zone Beitragender für private DNS-Zone DNS zone Konfigurieren eines privaten Links

Schrittweise Anleitungen finden Sie unter Konfigurieren eines privaten Links.

Verwaltete virtuelle Netzwerke

Ein verwaltetes virtuelles Netzwerk isoliert Foundry-Ressourcen in einem von Foundry verwalteten Netzwerk. Diese Einrichtung vereinfacht die Netzwerkkonfiguration im Vergleich zur Bereitstellung Ihres eigenen VNet.

Aufgabe Minimale Rolle Geltungsbereich Details
Konfigurieren von verwaltetem VNet BesitzeroderMitwirkender Foundry-Ressource Verwaltetes virtuelles Netzwerk
RBAC Ressourcen in verwaltetem VNet zuweisen BesitzeroderRollenbasierter Access Control Administrator Zielressourcen Verwaltetes virtuelles Netzwerk

Netzwerksicherheitsperimeter

Ein Netzwerksicherheitsperimeter bietet eine zentrale Möglichkeit, den Netzwerkzugriff über mehrere Azure Ressourcen hinweg zu verwalten. Fügen Sie Ihre Foundry-Ressource zu einem vorhandenen Umkreis hinzu, um konsistente Netzwerkregeln zu erzwingen.

Aufgabe Minimale Rolle Geltungsbereich Details
Hinzufügen von Foundry zum Netzwerksicherheitsperimeter (Vorschau) Besitzer, MitwirkenderoderNetzwerkmitwirkender Foundry-Ressource Netzwerksicherheitsperimeter

Vom Kunden verwaltete Schlüssel

Mithilfe von vom Kunden verwalteten Schlüsseln (CMK) können Sie Foundry-Daten mit Schlüsseln verschlüsseln, die Sie in Azure Key Vault steuern. CMK erfordert Rollen sowohl für die Key Vault als auch für die Foundry-Ressource, da Sie den verwalteten Identitätszugriff auf Ihren Schlüssel gewähren und dann die Ressource so konfigurieren, dass sie verwendet wird.

Aufgabe Minimale Rolle Geltungsbereich Details
RBAC für Key Vault zuweisen BesitzeroderBenutzerzugriffsadministrator Key Vault Konfigurieren von kundenseitig verwalteten Schlüsseln
Key Vault Crypto User einer verwalteten Identität zuweisen BesitzeroderAdministrator für Benutzerzugriff Key Vault Konfigurieren von kundenseitig verwalteten Schlüsseln
Konfigurieren der Verschlüsselung für die Foundry-Ressource MitwirkenderoderBesitzer Foundry-Ressource Konfigurieren von kundenseitig verwalteten Schlüsseln

Die vollständige Vorgehensweise finden Sie unter Konfigurieren von vom Kunden verwalteten Schlüsseln.

Key Vault-Verbindungen

Mit einer Key Vault Verbindung können Foundry-Projekte auf geheime Schlüssel, Zertifikate und Schlüssel zugreifen, die in Azure Key Vault gespeichert sind, ohne Anmeldeinformationen in Code einzubetten. Erstellen Sie eine Verbindung, wenn Ihre Agenten oder bereitgestellten Modelle zur Laufzeit API-Schlüssel oder Zertifikate abrufen müssen.

Aufgabe Minimale Rolle Geltungsbereich Details
Erstellen einer Key Vault-Verbindung Key Vault Mitwirkender + Key Vault Administrator Key Vault Speichern geheimer Schlüssel in Ihrem Azure Key Vault

Leitplanken und Richtlinien einrichten

Richten Sie Leitplanken und Azure Policy-Zuweisungen ein, um einzuschränken, welche Modelle, Tools und Konfigurationen in Ihrer Foundry-Umgebung verfügbar sind. Sie benötigen Rollen auf Administratorebene, um diese Aufgaben auszuführen, da sie Governancegrenzen für alle Entwickler in einem Abonnement oder einer Ressourcengruppe erzwingen.

Aufgabe Minimale Rolle Geltungsbereich Details
Leitplanken erstellen Besitzer des Foundry-Kontos oder höher Foundry-Ressource Erstellen von Schutzläufen
Erstellen von Schutzschienenrichtlinien BesitzeroderMitwirkender an Ressourcenrichtlinien Abonnement- oder Ressourcengruppe Erstellen von Schutzschienenrichtlinien
Erstellen von Modellbereitstellungsrichtlinien BesitzeroderMitwirkender für Ressourcenrichtlinien Abonnement- oder Ressourcengruppe Richtlinie für die Modellbereitstellung
Erstellen benutzerdefinierter Richtliniendefinitionen Ressourcenrichtlinienmitwirkender (geringste Berechtigung) oderBesitzer Zielbereich Erstellen benutzerdefinierter Richtliniendefinitionen
Konfigurieren Sie Drittanbieter-Leitplanken Besitzer (Abonnement) + Key Vault Administrator Abonnement und Key Vault Drittanbieterintegrationen
Erzwingen von Tokenbeschränkungen über das AI-Gateway Mitwirkender für API Management-DienstoderBesitzer APIM-Ressource Token-Limits erzwingen
Verwalten von Agenttools über das AI-Gateway Mitwirkender für API-VerwaltungsdiensteoderBesitzer APIM-Instanz Verwalten von Agenttools

Eine Schritt-für-Schritt-Anleitung zum Erstellen Ihres ersten Guardrails finden Sie unter Guardrails erstellen. Modellbereitstellungsrichtlinien finden Sie unter Modellbereitstellungsrichtlinie.

Verwalten von Compliance und Überwachung

Compliance- und Überwachungsaufgaben umfassen Azure RBAC-Rollen und Microsoft Entra Verzeichnisrollen. Diese Unterscheidung zu verstehen ist wichtig – Sie weisen Verzeichnisrollen im Microsoft Entra Admin Center zu, nicht im Bereich "Access Control (IAM)" des Azure-Portals.

Aufgabe Minimale Rolle Geltungsbereich Details
Aktivieren von Microsoft Defender für Cloud SicherheitsadministratoroderBesitzer Subscription Verwalten von Compliance und Sicherheit
Konfigurieren von Microsoft Purview Besitzer des Foundry-Kontos Foundry-Ressource Verwalten von Compliance und Sicherheit
Konfigurieren von Diagnoseeinstellungen Überwachung von Mitwirkenden Foundry-Ressource Monitormodelle
Konfigurieren des Tracings für Application Insights Mitwirkender oder höher Application Insights-Ressource Tracing-Agent-Framework
Verwalten der Agenteninfrastruktur (Entra-Admin) Globaler AdministratoroderMicrosoft Entra KI-Administrator Microsoft Entra-Mandant Verwalten der Agentinfrastruktur als Entra-Administrator
Konfigurieren von Richtlinien für bedingten Zugriff Administrator für bedingten Zugriff Microsoft Entra ID Bewährte Methoden für MCP-Sicherheit

Important

Die Erhöhung des globalen Administrators weist die Rolle Benutzerzugriffsadministrator im Stammbereich (/) für alle Abonnements zu. Entfernen Sie diese Erhöhung, nachdem Sie die erforderlichen Aufgaben abgeschlossen haben. Ausführliche Informationen finden Sie unter Verwalten der Agentinfrastruktur als Entra-Administrator.

Eine Schritt-für-Schritt-Anleitung zum Einrichten der Überwachung finden Sie unter Modelle überwachen und Framework für Ablaufverfolgungs-Agenten.

Konfigurieren des Speicher- und Datenebenenzugriffs

Foundry-Agenten, Auswertungen und verschiedene Tools erfordern Datenebenenrollen für Speicher- und Suchressourcen. Weisen Sie diese Rollen der verwalteten Identität des Foundry-Projekts zu – nicht menschlichen Benutzern –, damit der Dienst zur Laufzeit auf die zugrunde liegenden Ressourcen zugreifen kann.

Die folgende Tabelle enthält eine Spalte "Zugewiesen" , da diese Rollen für verwaltete Identitäten und nicht für menschliche Benutzer gelten.

Aufgabe Mindestrolle, die zugewiesen werden soll Zugewiesen an Zielressource Details
BYO-Speicher für Gießerei Mitwirkender an Speicherblobdaten Vom Projekt verwaltete Identität Speicherkonto Herstellen einer Verbindung mit Ihrem eigenen Speicher
BYO-Speicher für Spracherkennung/Sprache Mitwirkender an Speicherblobdaten Foundry-verwaltete Identität Speicherkonto Mit Ihrem eigenen Speicher für Sprach-/Sprachdienste verbinden
Ausführen von Auswertungen mit Entra ID Speicher Besitzer von Speicherblobdaten Benutzer- und Projektressource Speicherkonto Auswertungsregionen und Grenzwerte
Gießerei IQ-Indizierung (Vorschau) Suchindexdaten-Beitragender Projektverwaltete Identität KI-Suchressource Foundry IQ-Verbindung

Note

Das Zuweisen von Datenebenenrollen wie "Storage Blob Data Contributor " zu einer verwalteten Identität erfordert Besitzer oder Benutzerzugriffsadministrator für die Zielressource.

Einrichten der Notfallwiederherstellung

Die Notfallwiederherstellung für Foundry umfasst zwei Szenarien: das Failover der Foundry-Ressource selbst (hohe Verfügbarkeit) und das Failover der zugrunde liegenden Ressourcen der Agents. Der Agent-Dienst-DR ist besonders rollenintensiv, da er zusätzlich zur Foundry-Ressource Zugriff auf Cosmos DB, AI Search und Storage benötigt.

Aufgabe Minimale Rolle Geltungsbereich Details
Konfigurieren von Hochverfügbarkeit BesitzeroderMitwirkender + Benutzerzugriffsadministrator Ressourcengruppe Hohe Verfügbarkeit und Ausfallsicherheit
Agentendienst DR (Bediener) BesitzeroderMitwirkender + Mitwirkender für DocumentDB-Konto + Mitwirkender für Suchdienst + Mitwirkender für Storage-Blobdaten Ressourcengruppe und zugrunde liegende Ressourcen Notfallwiederherstellung des Agentendienstes
Agent-Dienst DR (Plattform) MitwirkenderoderBesitzer + Mitwirkender für Speicherkonten Gießereiressourcen und Speicher Notfallwiederherstellung vom Ausfall der Plattform

Ausführliche DR-Verfahren finden Sie unter Hohe Verfügbarkeit und Ausfallsicherheit und Notfallwiederherstellung des Agent-Diensts.

Konfigurieren von Verbindungen und Integrationen

Foundry integriert sich in API-Verwaltung, MCP-Server und externe Dienste. Die meisten Integrationsaufgaben erfordern mindestens einen Mitwirkenden, da sie Azure Ressourcen erstellen oder ändern. Das Verknüpfen von Foundry mit einem AI-Gateway erfordert die Rolle " Besitzer des Foundry-Kontos" , da sie die Konfiguration des Kontos ändert.

Aufgabe Minimale Rolle Geltungsbereich Details
Hinzufügen von Verbindungen zu Foundry Foundry-Benutzer, Foundry-Besitzer, oderBeitragender Gießereiprojekt Erstellen einer Verbindung
KI-Gateway (APIM) aktivieren MitwirkenderoderBesitzer Ressourcengruppe oder Abonnement Aktivieren des KI-API-Verwaltungsgateways
Verknüpfen von Foundry mit AI-Gateway Foundry-KontoinhaberoderFoundry-Inhaber Foundry-Ressource Aktivieren des KI-API-Verwaltungsgateways
Konfigurieren des MCP-Server-Zugriffs Mitwirkender oder höher Gießereiprojekt Erste Schritte mit MCP
Erstellen Ihres eigenen MCP-Servers Contributor Ressourcengruppe Erstellen Ihres eigenen MCP-Servers
Verwalten des MCP-Zugriffs (Rollenzuweisung) BesitzeroderAdministrator für Benutzerzugriff Zielressource Bewährte Methoden für MCP-Sicherheit
Konfigurieren von Claude Code MitwirkenderoderBesitzer Ressourcengruppe Konfigurieren von Claude Code
Verwalten von Tags für Ressourcen BeitragenderoderTag-Beitragender Zielbereich Deaktivieren von Vorschaufeatures

Kurzübersicht: Rollenzusammenfassung

In der folgenden Tabelle sind die primären Rollen mit erhöhten Rechten zusammengefasst, und wenn Administratoren sie benötigen. Verwenden Sie sie, um schnell zu identifizieren, welche Rolle für eine bestimmte Aufgabenkategorie zugewiesen werden soll.

Role Wann es erforderlich ist
Owner Rollenzuweisungen, benutzerdefinierte RBAC-Rollen, Richtlinienerstellung, Vorgänge auf Abonnementebene
Contributor Ressourcenbereitstellung, Marketplace-Modellbereitstellung, MCP-Schreibvorgänge, private Endpunkte
Besitzer des Foundry-Kontos Erstellen von Foundry-Ressourcen und Projekten, Modellbereitstellung, Kontingentverwaltung, Inhaltsblocklisten, Guardrails, Purview-Integration, bedingte Rollenzuweisung
Foundry-Projektmanager Agents veröffentlichen, bedingte Rollenzuweisung für Foundry User
Inhaber der Gießerei Feinabstimmung, Bereitstellung gehosteter Agenten, kombinierte Vorgänge der Daten- und Steuerungsebene
Benutzerzugriffsadministrator Rollen zuweisen, wenn Sie nicht über die Besitzerrolle verfügen; CMK Key Vault RBAC; Zugriff auf die Containerregistrierung
Mitwirkender/Besitzer von Speicher-BLOB-Daten Agent-Sicherungsspeicher, Auswertungen, BYO-Speicher, Dateisuchtool
Suchindexdaten-Beitragender Suchgestützte KI-Agententools, Foundry IQ-Indexierung
Key Vault-Administrator Key Vault Verbindungen, Schutzschienen von Drittanbietern
Mitwirkender an Ressourcenrichtlinien Azure Policy-Zuweisungen für Modellbereitstellungen und benutzerdefinierte Richtlinien
Globaler Administrator Agent-Governance auf Mandantenebene, Zugriffserweiterung
Sicherheitsadministrator Microsoft Defender for Cloud
Überwachung von Mitwirkenden Diagnoseeinstellungen
Netzwerkmitwirkender VNet-Konfiguration, Netzwerksicherheitsperimeter

Häufige Berechtigungsfehler beheben

Wenn Entwickler auf Berechtigungsfehler stoßen, verwenden Sie die Aufgabentabellen in diesem Artikel, um die erforderliche Rolle zu identifizieren. Die folgende Tabelle ordnet häufige Fehlermeldungen wahrscheinlich Ursachen und Lösungen zu.

Fehlermeldung Wahrscheinliche Ursache Resolution
AuthorizationFailed oder The client does not have authorization to perform action Fehlende Rolle für die Steuerungsebene (Besitzer, Mitwirkender oder eine ressourcenspezifische Rolle) Identifizieren Sie die Aufgabe in diesem Artikel, notieren Sie die minimale Rolle und den minimalen Umfang und weisen Sie dann die Rolle zu.
Die Erstellung oder Aktualisierung des Agents schlägt selbst mit Besitzer/Mitwirkender fehl Fehlende Foundry-Data-Plane-Rolle im Projekt Weisen Sie auf Projektebene Foundry User, Foundry Project Manager oder Foundry Owner zu. Siehe Setup des gehosteten Agents.
Creating that role assignment requires Microsoft.Authorization/roleAssignments/write (oder gleichwertig) Die anfragende Person hat Foundry Project Manager oder Foundry-Kontoinhaber, muss jedoch Rollen zuweisen, die über die zulässige Beschränkung auf Foundry User hinausgehen. Verwenden Sie Besitzer oder Administrator für rollenbasierte Zugriffssteuerung im Bereich der Zielressource (z. B. ACR oder Log Analytics).
ForbiddenError zur Modellbereitstellung Fehlender Besitzer des Foundry-Kontos in der Foundry-Ressource Siehe Bereitstellen und Verwalten von Modellen.
LinkedAuthorizationFailed während der Ressourcenerstellung Fehlende Berechtigungen für eine verknüpfte Ressource (Speicher, Key Vault oder Suche) Informationen zu dienstübergreifenden Rollenanforderungen finden Sie unter Agenteninfrastruktur konfigurieren.
Agent gibt 403 zur Laufzeit zurück Fehlende Datenebenenrolle in einer Sicherungsressource Überprüfen Sie die Rollenzuweisungen verwalteter Identitäten in der Tabelle Standard-Agent-Setup.
Legacy Azure AI Developer-Rolle zugewiesen, aber Foundry-Aufgaben schlagen weiterhin fehl Die Rollenzuweisung für Legacy-Hub-Projekte lässt sich nicht den aktuellen Anforderungen an die Foundry-Rolle zuordnen. Verwenden Sie die Rollenzuordnungen in diesem Artikel, und weisen Sie die erforderliche Rolle im richtigen Bereich für den fehlerhaften Vorgang zu.
Schaltfläche "Agent veröffentlichen" ist deaktiviert. Foundry-Projektmanager fehlt im Foundry-Ressourcenbereich Weisen Sie Foundry-Projektmanager auf der Ebene der Foundry-Ressource (Konto) zu, nicht nur auf Projektebene. Siehe Veröffentlichen von Agents.
RoleAssignmentExists Rolle, die bereits im selben Bereich zugewiesen ist Keine Aktion erforderlich.
Modellname oder Regionsfehler (z. B InvalidModelName. ) Modell nicht in der ausgewählten Region verfügbar Überprüfen Sie die Verfügbarkeit von Modellregionen , und stellen Sie sie in einer unterstützten Region erneut zur Anwendung.
Kontingentfehler (z. B. InsufficientQuota) Die Bereitstellung überschreitet das TPM-Kontingent des Abonnements für das Modell/die Region. Unter Kontingente verwalten können Sie die aktuelle Nutzung anzeigen und Erhöhungen beantragen.
Cosmos DB Built-in Data Contributor in IAM nicht gefunden Cosmos DB-Datenebenen-Rollen sind im Portalbereich Zugriffssteuerung (IAM) nicht sichtbar. Weisen Sie diese Rolle über die Azure CLI (az cosmosdb sql role assignment create) oder Bicep zu. Siehe den HINWEIS zu Einrichtung des Standard-Agenten für Details.
Could not resolve host oder DNS-Auflösungsfehler nach der Einrichtung eines privaten Endpunkts Privates DNS Zone, die nicht mit dem virtuellen Netzwerk verknüpft ist, oder DNS-Einträge, die nicht weitergegeben wurden Überprüfen Sie, ob die private DNS-Zone mit dem richtigen VNet verknüpft ist. Siehe "Konfigurieren eines privaten Links".
Authorization_RequestDenied von Microsoft Graph oder Entra ID Fehlende Microsoft Entra Verzeichnisrolle (z. B. globaler Administrator oder Microsoft Entra AI-Administrator) Entra-Verzeichnisrollen werden im Microsoft Entra Admin Center zugewiesen, nicht in Azure RBAC. Siehe Verwalten von Compliance und Überwachung.

Tip

Rollenzuweisungen können bis zu fünf Minuten dauern, bis sie verteilt werden. Bitten Sie den Entwickler, sich abzumelden und sich wieder anzumelden, nachdem Sie die Rolle zugewiesen haben. Allgemeine Azure RBAC-Problembehandlung finden Sie unter Problembehandlung für Azure RBAC.