Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Quando si lavora con gli agenti Hosted in Microsoft Foundry, è importante comprendere le varie autorizzazioni coinvolte. Esistono diverse classi di autorizzazioni coinvolte nello sviluppo dell'agente ospitato, che si estendono sul piano di controllo Azure Resource Manager e sul piano dati Foundry:
- Autorizzazioni concesse a utenti o entità che utilizzano le risorse foundry
- Autorizzazioni concesse al progetto Foundry
- Autorizzazioni concesse all'agente
Questo articolo è complementare al controllo degli accessi basato su Role per Microsoft Foundry, che introduce i concetti relativi al controllo degli accessi in base al ruolo e i ruoli predefiniti disponibili in Microsoft Foundry. Prima di procedere, è consigliabile acquisire familiarità con tale articolo. Questo articolo illustra le operazioni coinvolte nello sviluppo e nella distribuzione di agenti ospitati, le autorizzazioni necessarie per eseguire tali operazioni e quali ruoli predefiniti coprono tali autorizzazioni.
Per le attività di distribuzione e ciclo di vita end-to-end, vedere Distribuire un agente ospitato e Gestire il ciclo di vita dell'agente ospitato. Per il comportamento specifico dell'identità, vedere Identità dell'agente.
Importante
Rispettare sempre il principio dei privilegi minimi quando si assegnano autorizzazioni. Concedere solo le autorizzazioni necessarie per gli utenti e gli agenti per eseguire le attività e verificare e aggiornare regolarmente le autorizzazioni in base alle esigenze.
Ruoli in questo articolo
Azure AI Foundry autorizzazioni si estendono su due piani: il piano di controllo Azure Resource Manager (ARM) e il piano dati Foundry. I ruoli Proprietario e Collaboratore hanno autorizzazioni generali del piano di controllo ARM, ma non includono autorizzazioni del piano dati. Le operazioni del piano dati, ad esempio la creazione di agenti o l'interazione con essi, richiedono ruoli specifici Azure AI Foundry come Foundry User, Foundry Project Manager o Foundry Owner.
Importante
I ruoli controllo degli accessi in base al ruolo foundry sono stati rinominati di recente. Foundry User, Foundry Owner, Proprietario accountFoundry e Foundry Project Manager sono stati precedentemente denominati Azure utente di intelligenza artificiale, proprietario dell'intelligenza artificiale Azure, proprietario dell'account Azure ai e Azure ai Project Manager. È possibile che i nomi precedenti vengano visualizzati in alcune posizioni durante l'esecuzione della ridenominazione. Gli ID ruolo e le autorizzazioni di base sono invariati dalla ridenominazione.
Questo articolo fa riferimento ai ruoli predefiniti seguenti. Per informazioni sulle definizioni di ruolo personalizzate, vedere Azure ruoli personalizzati.
| Ruolo | Scopo nella distribuzione dell'agente ospitato |
|---|---|
| Proprietario | Autorizzazioni complete per creare e gestire risorse Azure |
| Contributor | Creare e gestire risorse Azure |
| Amministratore Controllo di accesso basato surole | Creare assegnazioni di ruolo in Azure risorse |
| Utente foundry | Creare agenti, eseguire l'inferenza del modello e interagire con gli agenti |
| Foundry Project Manager | Gestire progetti, creare agenti, eseguire l'inferenza del modello, interagire con gli agenti e creare assegnazioni di ruolo |
| Proprietario dell'account Foundry | Creare distribuzioni, gestire progetti e gestire le risorse a livello di account. Creare assegnazioni di ruolo solo per le operazioni del piano di controllo. Non è possibile eseguire operazioni del piano dati, ad esempio la creazione o l'interazione con gli agenti. |
| Foundry Owner | Autorizzazioni complete del piano di controllo e del piano dati sulle risorse dell'account, ma non possono creare assegnazioni di ruolo |
| Lettore del repository del Registro Container | Eseguire il pull delle immagini del contenitore dal registro |
| Writer del repository del Registro Container | Eseguire il push delle immagini del contenitore nel registro |
| AcrPull | Eseguire il pull delle immagini del contenitore dal registro |
| AcrPush | Eseguire il push delle immagini del contenitore nel registro |
| lettore dati Log Analytics | Leggere i dati di telemetria per le valutazioni |
| Utente OpenAI di Servizi cognitivi | Accedere direttamente agli endpoint OpenAI a livello di account |
| Utente di Servizi cognitivi | Accedere direttamente alle funzionalità a livello di account (Riconoscimento vocale, Visione, Lingua) |
Caution
Anche se potrebbe sembrare un ruolo appropriato per uno sviluppatore che usa agenti ospitati, il ruolo predefinito Azure developer di intelligenza artificiale non è sufficiente per gli scenari degli agenti ospitati. Questo ruolo è limitato a Azure Machine Learning e agli hub Foundry, non alle risorse del progetto Foundry usate dagli agenti ospitati e non include le autorizzazioni di gestione delle risorse necessarie per la distribuzione dell'agente ospitato.
Diagnosi rapida per sintomo
Usare questi collegamenti per passare direttamente alle sezioni che consentono di risolvere i problemi di autorizzazione comuni:
- Non è possibile creare l'agente: vedere Creazione dell'agente
- Agent non può accedere ai modelli: vedere Creazione dell'agente e Accesso facoltativo all'account
- Deployment ha esito negativo: vedere distribuzione dell'agente Hosted e Registro Azure Container setup
- Agent non è in grado di eseguire il pull delle immagini in fase di esecuzione: vedere Registro Azure Container setup
- L'interazione dell'agente ha esito negativo: vedere Interazione dell'agente
- L'assegnazione di ruolo non riesce: vedere Creazione di un'assegnazione di ruolo che richiede sezioni e configurazione delle connessioni
- Non è possibile pubblicare l'agente in Teams o Microsoft 365 Copilot: vedere Azure servizio Bot setup
Architettura della soluzione agente ospitato
Una configurazione completa dell'agente ospitato prevede più risorse Azure, assegnazioni di identità e connessioni che interagiscono tra loro. Il diagramma seguente illustra i componenti chiave e le relative relazioni:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Foundry User role on Foundry Account
• Hosted Agent → Foundry User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
Il diagramma precedente mostra come le risorse sono organizzate gerarchicamente e quali assegnazioni di ruolo consentono la comunicazione tra di esse. Le sezioni seguenti forniscono requisiti di configurazione dettagliati per ogni componente.
Risorse di Azure necessarie
Per ogni distribuzione dell'agente ospitato è necessario configurare correttamente queste risorse Azure:
-
Un account Foundry
- Un'assegnazione di ruolo consente all'identità gestita del progetto di accedere all'account per l'accesso al modello.
Foundry Userè il ruolo predefinito consigliato.
- Un'assegnazione di ruolo consente all'identità gestita del progetto di accedere all'account per l'accesso al modello.
- Distribuzione di un modello (nell'account)
-
Progetto Foundry (nell'account)
- Il progetto ha un'identità gestita. Il progetto ottiene anche un progetto agente e un'identità dell'agente al momento della creazione del primo agente.
- Un'assegnazione di ruolo consente all'identità dell'agente ospitato di accedere al progetto per l'accesso al modello.
Foundry Userè il ruolo predefinito consigliato. - Le assegnazioni di ruolo consentono agli utenti client o alle entità di interagire con gli agenti nel progetto in fase di esecuzione.
Foundry Userè il ruolo predefinito consigliato.
-
Un agente ospitato (nel progetto)
- L'agente ottiene automaticamente un progetto agente e un'identità dell'agente.
- Versione dell'agente (nell'oggetto Agente ospitato)
-
An Registro Azure Container (ACR)
- Un'assegnazione di ruolo consente all'identità gestita del progetto di eseguire il pull delle immagini dal Registro di sistema. Il ruolo predefinito consigliato per il lettore del repository del Registro Azure Container è.
- Un'assegnazione di ruolo consente a un utente o a un'entità servizio che distribuisce l'agente di eseguire il push delle immagini nel Registro di sistema. Container Registry Repository Writer è il ruolo predefinito consigliato.
- Un componente di Application Insights
- area di lavoro A Log Analytics (collegata al componente Application Insights)
- Un'assegnazione di ruolo consente all'identità gestita del progetto di leggere i dati di telemetria per le valutazioni. Log Analytics Lettore dati è il ruolo predefinito consigliato.
-
Diverse risorse di connessione (nel progetto):
- Viene creata una connessione per il Registro Azure Container, usato dal progetto per il pull delle immagini.
- Viene creata una connessione per Application Insights, che il progetto usa per generare dati di telemetria per i relativi agenti. Questa connessione non usa l'identità per impostazione predefinita.
Alcuni set di utenti o entità devono disporre dell'autorizzazione per creare e gestire queste risorse. Questo articolo presuppone una configurazione in cui le risorse Azure si trovano tutte all'interno dello stesso gruppo di risorse e mostra la concessione dell'accesso in scrittura su tale gruppo di risorse. Questo approccio al gruppo di risorse è una configurazione comune per molti team, ma la configurazione specifica può variare. Se si ha una strategia diversa per l'organizzazione delle risorse, potrebbe essere necessario suddividere le autorizzazioni tra i gruppi di risorse usati.
Questo elenco non include le risorse di rete. Tuttavia, l'utente o l'entità servizio che effettua il provisioning delle risorse Azure potrebbe anche richiedere l'autorizzazione per creare e gestire reti virtuali, subnet ed endpoint privati per proteggere le risorse.
Applicazioni dell'agente
Se si usano applicazioni agente, l'elenco include anche:
-
Un'applicazione agente (nel progetto)
- L'applicazione agente ottiene automaticamente un progetto agente e un'identità dell'agente. Ripetere le assegnazioni di ruolo per l'identità dell'agente ospitato con l'identità dell'agente dell'applicazione agente.
- Distribuzione dell'agente (nell'applicazione dell'agente)
Azure configurazione delle risorse
Configurazione dell'account Foundry
La creazione di un account Foundry richiede l'autorizzazione Microsoft.CognitiveServices/accounts/write nell'ambito del gruppo di risorse.
| Ruolo integrato | Ambito | L'assegnatario può creare un account Foundry? |
|---|---|---|
| Proprietario | Gruppo di risorse | ✔ Sì |
| Collaboratore | Gruppo di risorse | ✔ Sì |
| Utente foundry | Gruppo di risorse | ✗ No |
| Foundry Project Manager | Gruppo di risorse | ✗ No |
| Proprietario dell'account Foundry | Gruppo di risorse | ✔ Sì |
| Foundry Owner | Gruppo di risorse | ✔ Sì |
L'identità gestita del progetto deve accedere all'account Foundry per eseguire l'inferenza del modello tramite l'endpoint del progetto. L'accesso del progetto è coperto dal ruolo Foundry User nell'ambito dell'account Foundry. Questa assegnazione di ruolo può essere creata automaticamente quando viene creato il progetto, a seconda delle autorizzazioni dell'utente o dell'entità servizio che crea il progetto.
Potrebbero essere necessarie altre assegnazioni di ruolo se il codice dell'agente accede direttamente all'endpoint OpenAI a livello di account o ad altre funzionalità a livello di account non proxy dall'endpoint del progetto. Per altre informazioni, vedere Accesso facoltativo all'account.
Implementazione del modello
La creazione di una distribuzione di modelli richiede l'autorizzazione Microsoft.CognitiveServices/accounts/deployments/write nell'ambito dell'account Foundry.
| Ruolo integrato | Ambito | L'assegnatario può distribuire un modello in un account Foundry? |
|---|---|---|
| Proprietario | Account di Foundry | ✔ Sì |
| Collaboratore | Account di Foundry | ✔ Sì |
| Utente foundry | Account di Foundry | ✗ No |
| Foundry Project Manager | Account di Foundry | ✗ No |
| Proprietario dell'account Foundry | Account di Foundry | ✔ Sì |
| Foundry Owner | Account di Foundry | ✔ Sì |
Configurazione del progetto
La creazione di un progetto Foundry richiede l'autorizzazione Microsoft.CognitiveServices/accounts/projects/write nell'ambito dell'account Foundry.
| Ruolo integrato | Ambito | L'assegnatario può creare un progetto Foundry? |
|---|---|---|
| Proprietario | Account di Foundry | ✔ Sì |
| Collaboratore | Account di Foundry | ✔ Sì |
| Utente foundry | Account di Foundry | ✗ No |
| Foundry Project Manager | Account di Foundry | ✔ Sì |
| Proprietario dell'account Foundry | Account di Foundry | ✔ Sì |
| Foundry Owner | Account di Foundry | ✔ Sì |
Se l'autore del progetto ha la possibilità di assegnare il ruolo Foundry User nell'ambito dell'account, il sistema crea automaticamente due assegnazioni di ruolo:
- All'autore del progetto viene concesso il ruolo Utente Foundry nell'ambito dell'account Foundry.
- All'identità gestita del progetto viene concesso il ruolo Utente Foundry nell'ambito dell'account Foundry.
Per l'identità dell'agente nel progetto è necessaria un'assegnazione di ruolo simile. Per altre informazioni, vedere la sezione Creazione dell'agente .
Registro Azure Container configurazione
La creazione di un Registro Azure Container richiede l'autorizzazione Microsoft.ContainerRegistry/registries/write nell'ambito del gruppo di risorse.
Annotazioni
Per gli agenti ospitati, il registro contenitori deve attualmente essere raggiungibile tramite l'endpoint pubblico. L'inserimento di Registro Azure Container dietro una rete privata (endpoint privato con accesso alla rete pubblica disabilitato) non è attualmente supportato. Per l'elenco completo dei vincoli di rete, vedere Limitazioni.
| Ruolo integrato | Ambito | L'assegnatario può creare un registro contenitori? |
|---|---|---|
| Proprietario | Gruppo di risorse | ✔ Sì |
| Collaboratore | Gruppo di risorse | ✔ Sì |
| Utente foundry | Gruppo di risorse | ✗ No |
| Foundry Project Manager | Gruppo di risorse | ✗ No |
| Proprietario dell'account Foundry | Gruppo di risorse | ✗ No |
| Foundry Owner | Gruppo di risorse | ✗ No |
L'identità gestita del progetto deve disporre delle autorizzazioni per eseguire il pull dell'immagine da Registro Azure Container. Esistono due ruoli predefiniti adatti a questa attività, che devono essere assegnati nell'ambito della risorsa del Registro Azure Container:
- Lettore del repository del Registro Container (preferito perché modella il pull come azione di dati)
- AcrPull
La creazione di tale assegnazione di ruolo richiede l'autorizzazione Microsoft.Authorization/roleAssignments/write nell'ambito del Registro Azure Container.
Per informazioni dettagliate sull'assegnazione dei ruoli in Azure, vedere Creare Azure assegnazioni di ruolo.
| Ruolo integrato | Ambito | L'assegnatario può creare un'assegnazione di ruolo? |
|---|---|---|
| Proprietario | Registro Azure Container | ✔ Sì |
| Collaboratore | Registro Azure Container | ✗ No |
| Utente foundry | Registro Azure Container | ✗ No |
| Foundry Project Manager | Registro Azure Container | ✗ No1 |
| Proprietario dell'account Foundry | Registro Azure Container | ✗ No1 |
| Foundry Owner | Registro Azure Container | ✗ No |
| Amministratore Controllo di accesso basato su ruoli | Registro Azure Container | ✔ Sì |
Anche l'utente o l'entità servizio che esegue il push delle immagini nel Registro di sistema richiede un'assegnazione di ruolo. Per altre informazioni, vedere la sezione Distribuzione dell'agente ospitato .
Configurazione di Application Insights e Log Analytics
La creazione di una risorsa di Application Insights richiede l'autorizzazione Microsoft.Insights/components/write nell'ambito del gruppo di risorse.
| Ruolo integrato | Ambito | L'assegnatario può creare una risorsa di Application Insights? |
|---|---|---|
| Proprietario | Gruppo di risorse | ✔ Sì |
| Collaboratore | Gruppo di risorse | ✔ Sì |
| Utente foundry | Gruppo di risorse | ✗ No |
| Foundry Project Manager | Gruppo di risorse | ✗ No |
| Proprietario dell'account Foundry | Gruppo di risorse | ✗ No |
| Foundry Owner | Gruppo di risorse | ✗ No |
La creazione di un'area di lavoro Log Analytics richiede l'autorizzazione Microsoft.OperationalInsights/workspaces/write nell'ambito del gruppo di risorse.
| Ruolo integrato | Ambito | L'assegnatario può creare un'area di lavoro Log Analytics? |
|---|---|---|
| Proprietario | Gruppo di risorse | ✔ Sì |
| Collaboratore | Gruppo di risorse | ✔ Sì |
| Utente foundry | Gruppo di risorse | ✗ No |
| Foundry Project Manager | Gruppo di risorse | ✗ No |
| Proprietario dell'account Foundry | Gruppo di risorse | ✗ No |
| Foundry Owner | Gruppo di risorse | ✗ No |
Se si prevede di usare la funzionalità di valutazione, l'identità gestita del progetto deve disporre delle autorizzazioni per la lettura dall'area di lavoro Log Analytics. È possibile abilitare questo accesso concedendo il ruolo Log Analytics Data Reader all'identità gestita del progetto nell'ambito dell'area di lavoro Log Analytics.
La creazione di tale assegnazione di ruolo richiede l'autorizzazione Microsoft.Authorization/roleAssignments/write nell'ambito dell'area di lavoro Log Analytics.
Per informazioni dettagliate sull'assegnazione dei ruoli in Azure, vedere Creare Azure assegnazioni di ruolo.
| Ruolo integrato | Ambito | L'assegnatario può creare un'assegnazione di ruolo? |
|---|---|---|
| Proprietario | area di lavoro Log Analytics | ✔ Sì |
| Collaboratore | area di lavoro Log Analytics | ✗ No |
| Utente foundry | area di lavoro Log Analytics | ✗ No |
| Foundry Project Manager | area di lavoro Log Analytics | ✗ No1 |
| Proprietario dell'account Foundry | area di lavoro Log Analytics | ✗ No1 |
| Foundry Owner | area di lavoro Log Analytics | ✗ No |
| Amministratore Controllo di accesso basato su ruoli | area di lavoro Log Analytics | ✔ Sì |
Configurazione delle connessioni
La creazione di una connessione richiede l'autorizzazione Microsoft.CognitiveServices/accounts/projects/connections/write nell'ambito del progetto Foundry.
| Ruolo integrato | Ambito | L'assegnatario può creare una connessione? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✔ Sì |
| Collaboratore | Progetto Fonderia | ✔ Sì |
| Utente foundry | Progetto Fonderia | ✗ No |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✔ Sì |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
L'utente o l'entità servizio che crea le connessioni richiede anche le informazioni di connessione per il componente Application Insights e il registro contenitori. I dettagli della connessione possono essere forniti dall'utente o dall'entità servizio che ha creato tali risorse o tramite l'accesso in lettura su tali risorse.
Annotazioni
Gli agenti ospitati usano spesso strumenti e connessioni destinati a più risorse Azure. Queste risorse potrebbero richiedere assegnazioni di ruolo aggiuntive per l'identità chiamante o l'identità dell'agente nell'ambito della risorsa di destinazione. Ad esempio, gli strumenti che accedono ad Archiviazione, Azure AI Search, Key Vault o database richiedono in genere le proprie autorizzazioni del piano dati oltre alle autorizzazioni di configurazione di base documentate in questo articolo.
Applicazioni dell'agente
Se si usano applicazioni agente, è necessario creare un'applicazione agente nel progetto Foundry. La creazione di un'applicazione agente richiede l'autorizzazione Microsoft.CognitiveServices/accounts/projects/applications/write nell'ambito del progetto Foundry.
| Ruolo integrato | Ambito | L'assegnatario può creare un'applicazione agente? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✔ Sì |
| Collaboratore | Progetto Fonderia | ✔ Sì |
| Utente foundry | Progetto Fonderia | ✗ No |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✔ Sì |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
agentDeployment gli oggetti sono anche risorse arm, ma vengono creati come parte del processo di distribuzione dell'agente ospitato. Per altre informazioni, vedere Distribuzione dell'agente ospitato.
Creazione di agenti
Gli agenti vengono creati tramite un'operazione del piano dati. La creazione di un agente richiede l'autorizzazione Microsoft.CognitiveServices/accounts/AIServices/agents/write nell'ambito del progetto Foundry.
| Ruolo integrato | Ambito | L'assegnatario può creare un agente? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✗ No |
| Collaboratore | Progetto Fonderia | ✗ No |
| Utente foundry | Progetto Fonderia | ✔ Sì |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✗ No |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
Poiché l'identità dell'agente potrebbe essere disponibile solo dopo la creazione dell'agente, alcune assegnazioni di ruolo non possono essere create fino a dopo questo punto. Per eseguire l'inferenza del modello con l'endpoint del progetto, l'identità dell'agente richiede le autorizzazioni seguenti nell'ambito del progetto Foundry:
Microsoft.CognitiveServices/accounts/AIServices/responses/*-
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/read(per le definizioni personalizzate usareMicrosoft.CognitiveServices/accounts/AIServices/agents/*/read) -
Microsoft.CognitiveServices/accounts/AIServices/agents/storage/write(per le definizioni personalizzate usareMicrosoft.CognitiveServices/accounts/AIServices/agents/*/write)
| Ruolo integrato | Ambito | L'agente assegnato può eseguire l'inferenza del modello? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✗ No |
| Collaboratore | Progetto Fonderia | ✗ No |
| Utente foundry | Progetto Fonderia | ✔ Sì |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✗ No |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
Tip
Foundry User è il ruolo predefinito con privilegi minimi che può eseguire l'inferenza del modello con l'endpoint del progetto. Tuttavia, include un set più ampio di autorizzazioni rispetto a quanto strettamente necessario per questa operazione. Per ridurre i privilegi assegnati all'agente, è consigliabile creare un ruolo personalizzato solo con Microsoft.CognitiveServices/accounts/AIServices/responses/*, Microsoft.CognitiveServices/accounts/AIServices/agents/*/read e Microsoft.CognitiveServices/accounts/AIServices/agents/*/write.
La creazione di tale assegnazione di ruolo richiede l'autorizzazione Microsoft.Authorization/roleAssignments/write nell'ambito del progetto Foundry.
Per informazioni dettagliate sull'assegnazione dei ruoli in Azure, vedere Creare Azure assegnazioni di ruolo.
| Ruolo integrato | Ambito | L'assegnatario può creare un'assegnazione di ruolo? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✔ Sì |
| Collaboratore | Progetto Fonderia | ✗ No |
| Utente foundry | Progetto Fonderia | ✗ No |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì per Foundry User ruolo1 |
| Proprietario dell'account Foundry | Progetto Fonderia | ✔ Sì per Foundry User ruolo1 |
| Foundry Owner | Progetto Fonderia | ✗ No |
| Amministratore Controllo di accesso basato su ruoli | Progetto Fonderia | ✔ Sì |
Foundry Account Owner non sarà in grado di assegnare tale ruolo personalizzato.
Importante
Poiché dopo la creazione dell'agente è necessaria un'assegnazione di ruolo, anche l'utente o l'entità che crea l'agente deve disporre dell'autorizzazione per creare assegnazioni di ruolo.
Accesso facoltativo all'account
Quando si usa Foundry SDK e l'endpoint del progetto per l'inferenza del modello, l'inferenza dei proxy di progetto chiama alla distribuzione a livello di account usando la propria identità gestita. Tuttavia, se il codice dell'agente ignora l'endpoint del progetto e chiama direttamente l'endpoint OpenAI a livello di account , ad esempio https://{account}.cognitiveservices.azure.com, l'identità dell'agente richiede uno dei ruoli seguenti nell'ambito dell'account:
- Utente OpenAI di Servizi cognitivi : copre solo le azioni di dati OpenAI.
- Utente foundry : illustra tutte le azioni di dati CognitiveServices nell'account.
Le funzionalità a livello di account non sono proxy dall'endpoint del progetto. Queste funzionalità includono Speech, Content Safety, Visione artificiale, Document Intelligence, Language e Translator. Richiedono un'assegnazione di ruolo nell'ambito dell'account se l'agente accede direttamente. Per queste funzionalità, assegnare uno dei ruoli seguenti nell'ambito dell'account:
- Utente di Servizi cognitivi : illustra riconoscimento vocale, visione, linguaggio e altre funzionalità non OpenAI.
- Foundry User : illustra tutte le azioni sui dati cognitiveServices, tra cui OpenAI e le funzionalità elencate in precedenza, con una singola concessione.
Distribuzione dell'agente ospitato
Le operazioni di distribuzione dell'agente ospitato sono operazioni del piano di controllo. Per istruzioni dettagliate sulla distribuzione, vedere Distribuire un agente ospitato.
Eseguire il push di un'immagine nel Registro di sistema
L'utente o l'entità servizio che distribuisce l'agente deve disporre dell'autorizzazione per eseguire il push dell'immagine in Registro Azure Container. Esistono due ruoli predefiniti adatti a questa attività, che devono essere assegnati nell'ambito della risorsa del Registro Azure Container:
- Writer del repository del registro contenitori (preferito perché modella il push come azione di dati)
- AcrPush
Creare una nuova versione dell'agente
La creazione di un agente richiede l'autorizzazione Microsoft.CognitiveServices/accounts/AIServices/agents/write nell'ambito del progetto Foundry.
| Ruolo integrato | Ambito | L'assegnatario può creare una versione dell'agente? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✗ No |
| Collaboratore | Progetto Fonderia | ✗ No |
| Utente foundry | Progetto Fonderia | ✔ Sì |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✗ No |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
Se si usano applicazioni agente, è anche necessario creare un agentDeployment oggetto che faccia riferimento a una versione dell'agente appena distribuita. Si tratta di un'operazione del piano di gestione. La creazione di un oggetto agentDeployment richiede l'autorizzazione Microsoft.CognitiveServices/accounts/projects/applications/agentDeployments/write nell'ambito dell'applicazione agente.
| Ruolo integrato | Ambito | L'assegnatario può creare un agentDeployment oggetto? |
|---|---|---|
| Proprietario | Account di Foundry | ✔ Sì |
| Collaboratore | Account di Foundry | ✔ Sì |
| Utente foundry | Account di Foundry | ✗ No |
| Foundry Project Manager | Account di Foundry | ✔ Sì |
| Proprietario dell'account Foundry | Account di Foundry | ✔ Sì |
| Foundry Owner | Account di Foundry | ✔ Sì |
Aggiornare l'agente per usare la nuova versione
Se si usa l'endpoint dell'agente, la selezione della versione viene configurata nell'oggetto agente. L'aggiornamento dell'agente per l'uso della nuova versione richiede l'autorizzazione Microsoft.CognitiveServices/accounts/AIServices/agents/write nell'ambito del progetto Foundry.
| Ruolo integrato | Ambito | L'assegnatario può aggiornare la versione dell'agente? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✗ No |
| Collaboratore | Progetto Fonderia | ✗ No |
| Utente foundry | Progetto Fonderia | ✔ Sì |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✗ No |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
Se invece si usa l'applicazione agente, la selezione della versione viene configurata nell'oggetto applicazione agente. L'aggiornamento dell'applicazione agente per l'uso del nuovo oggetto
| Ruolo integrato | Ambito | L'assegnatario può aggiornare l'applicazione dell'agente? |
|---|---|---|
| Proprietario | Account di Foundry | ✔ Sì |
| Collaboratore | Account di Foundry | ✔ Sì |
| Utente foundry | Account di Foundry | ✗ No |
| Foundry Project Manager | Account di Foundry | ✔ Sì |
| Proprietario dell'account Foundry | Account di Foundry | ✔ Sì |
| Foundry Owner | Account di Foundry | ✔ Sì |
Azure servizio Bot configurazione
La pubblicazione dell'agente in Microsoft Teams o Microsoft 365 Copilot è facoltativa. Quando si esegue questa operazione, il flusso di pubblicazione esegue operazioni del piano di controllo per creare una risorsa Azure servizio Bot e configurarne i canali, quindi aggiorna l'agente o l'applicazione agente per consentire le richieste da servizio Bot.
Creazione del servizio bot
La creazione della risorsa del servizio bot richiede l'autorizzazione Microsoft.BotService/botServices/write nell'ambito del gruppo di risorse.
| Ruolo integrato | Ambito | L'assegnatario può creare un servizio bot? |
|---|---|---|
| Proprietario | Gruppo di risorse | ✔ Sì |
| Collaboratore | Gruppo di risorse | ✔ Sì |
| Utente foundry | Gruppo di risorse | ✗ No |
| Foundry Project Manager | Gruppo di risorse | ✗ No |
| Proprietario dell'account Foundry | Gruppo di risorse | ✗ No |
| Foundry Owner | Gruppo di risorse | ✗ No |
Annotazioni
Azure servizio Bot è un tipo di risorsa separato da Foundry. Azure ruoli predefiniti con ambito di intelligenza artificiale non includono autorizzazioni Microsoft.BotService/*.
Configurazione dei canali
La configurazione dei canali Teams e Microsoft 365 Extensions nel servizio bot richiede l'autorizzazione Microsoft.BotService/botServices/channels/write nell'ambito della risorsa del servizio bot.
| Ruolo integrato | Ambito | L'assegnatario può configurare i canali? |
|---|---|---|
| Proprietario | Servizio Bot | ✔ Sì |
| Collaboratore | Servizio Bot | ✔ Sì |
| Utente foundry | Servizio Bot | ✗ No |
| Foundry Project Manager | Servizio Bot | ✗ No |
| Proprietario dell'account Foundry | Servizio Bot | ✗ No |
| Foundry Owner | Servizio Bot | ✗ No |
Aggiornamento dell'applicazione agente o agente
Il flusso di pubblicazione imposta i canali (Azure servizio Bot) come modalità di autenticazione nell'applicazione agente o agente. L'oggetto aggiornato dipende dallo scenario:
- Scenario dell'applicazione agent: l'oggetto applicazione agente viene aggiornato. Si tratta di un'operazione di scrittura del piano di controllo. Gli stessi requisiti di ruolo si applicano come documentato nelle applicazioni agent.
- Scenario endpoint agente: l'oggetto agente viene aggiornato. Si tratta di un'operazione di scrittura del piano dati. Gli stessi requisiti di ruolo si applicano come documentato in Creare una nuova versione dell'agente.
Per indicazioni dettagliate sulla pubblicazione in Teams o Copilot M365, vedere Publish per Microsoft 365 Copilot e Microsoft Teams.
Interazione dell'agente
L'interazione con l'agente richiede che l'utente chiamante o l'entità servizio disponga di un'autorizzazione del piano dati. Per interagire con un'applicazione agent, è necessario Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action nell'ambito dell'applicazione agente.
| Ruolo integrato | Ambito | L'assegnatario può interagire con l'agente? |
|---|---|---|
| Proprietario | Progetto Fonderia | ✗ No |
| Collaboratore | Progetto Fonderia | ✗ No |
| Utente foundry | Progetto Fonderia | ✔ Sì |
| Foundry Project Manager | Progetto Fonderia | ✔ Sì |
| Proprietario dell'account Foundry | Progetto Fonderia | ✗ No |
| Foundry Owner | Progetto Fonderia | ✔ Sì |
Osservabilità dell'agente
Visualizzazione dei dati di telemetria
Per accedere ai dati di telemetria dell'agente sono necessarie autorizzazioni di lettura per la risorsa di Application Insights. Sono incluse la visualizzazione di tracce, log e metriche tramite il portale di Azure, il portale foundry, le API e gli strumenti di monitoraggio.
Assegnare il lettore di monitoraggio nell'ambito della risorsa di Application Insights. Le autorizzazioni */read in questo ruolo accedono ai dati dell'area di lavoro Log Analytics sottostanti senza richiedere un'assegnazione separata con ambito area di lavoro.
Se è necessario usare direttamente l'area di lavoro Log Analytics, assegnare anche Log Analytics Lettore nell'ambito dell'area di lavoro.
| Ruolo integrato | Ambito | I dati di telemetria dell'agente di accesso possono essere assegnati? |
|---|---|---|
| Proprietario | Application Insights | ✔ Sì |
| Collaboratore | Application Insights | ✔ Sì |
| Utente foundry | Application Insights | ✗ No (vede le metriche, ma non le tracce) |
| Foundry Project Manager | Application Insights | ✗ No |
| Proprietario dell'account Foundry | Application Insights | ✗ No (vede le metriche, ma non le tracce) |
| Foundry Owner | Application Insights | ✗ No |
| Lettore di monitoraggio | Application Insights | ✔ Sì |
| Lettore Log Analytics | area di lavoro Log Analytics | ✔ Sì (direttamente dall'area di lavoro) |
Visualizzazione dei costi nella valuta di fatturazione
La visualizzazione dei costi nella valuta di fatturazione nel portale foundry richiede l'autorizzazione Microsoft.Billing/billingProperty/read. Questa autorizzazione richiede una sottoscrizione o un'assegnazione con ambito account di fatturazione. L'ambito del gruppo di risorse non copre questa autorizzazione.
Questa autorizzazione è valida per la visualizzazione del portale e non è necessaria per la funzionalità dell'agente ospitato. È possibile omettere in modo sicuro questa autorizzazione per la maggior parte degli utenti.
| Ruolo integrato | Ambito | L'assegnazione dei costi può visualizzare i costi nella valuta di fatturazione? |
|---|---|---|
| Proprietario | Abbonamento | ✔ Sì |
| Collaboratore | Abbonamento | ✔ Sì |
| Lettore gestione costi | Abbonamento | ✔ Sì |
| Utente foundry | Abbonamento | ✗ No |
Contenuti correlati
- Agenti ospitati: informazioni sull'architettura e il ciclo di vita dell'agente ospitato.
- Controllo degli accessi in base al ruolo per Microsoft Foundry: esaminare i ruoli, gli ambiti e i modelli di assegnazione predefiniti.
- Identità agente: comprendere in che modo l'identità dell'agente e l'identità gestita del progetto differiscono.