Microsoft. Spazi di lavoro di MachineLearningServices 2026-03-01

Definizione della risorsa Bicep

Il tipo di risorsa delle aree di lavoro può essere distribuito con operazioni destinate a:

Resource groups - Vedi resource group

Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.

Formato di risorsa

Per creare un Microsoft. Risorsa MachineLearningServices/workspaces, aggiungi il seguente Bicep al tuo template.

resource symbolicname 'Microsoft.MachineLearningServices/workspaces@2026-03-01' = {
  identity: {
    type: 'string'
    userAssignedIdentities: {
      {customized property}: {}
    }
  }
  kind: 'string'
  location: 'string'
  name: 'string'
  properties: {
    allowPublicAccessWhenBehindVnet: bool
    applicationInsights: 'string'
    associatedWorkspaces: [
      'string'
    ]
    containerRegistry: 'string'
    description: 'string'
    discoveryUrl: 'string'
    enableDataIsolation: bool
    enableServiceSideCMKEncryption: bool
    encryption: {
      cosmosDbResourceId: 'string'
      identity: {
        userAssignedIdentity: 'string'
      }
      keyVaultProperties: {
        identityClientId: 'string'
        keyIdentifier: 'string'
        keyVaultArmId: 'string'
      }
      searchAccountResourceId: 'string'
      status: 'string'
      storageAccountResourceId: 'string'
    }
    featureStoreSettings: {
      computeRuntime: {
        sparkRuntimeVersion: 'string'
      }
      offlineStoreConnectionName: 'string'
      onlineStoreConnectionName: 'string'
    }
    friendlyName: 'string'
    hbiWorkspace: bool
    hubResourceId: 'string'
    imageBuildCompute: 'string'
    keyVault: 'string'
    managedNetwork: {
      enableNetworkMonitor: bool
      firewallSku: 'string'
      isolationMode: 'string'
      managedNetworkKind: 'string'
      outboundRules: {
        {customized property}: {
          category: 'string'
          status: 'string'
          type: 'string'
          // For remaining properties, see OutboundRule objects
        }
      }
      status: {
        sparkReady: bool
        status: 'string'
      }
    }
    primaryUserAssignedIdentity: 'string'
    provisionNetworkNow: bool
    publicNetworkAccess: 'string'
    serverlessComputeSettings: {
      serverlessComputeCustomSubnet: 'string'
      serverlessComputeNoPublicIP: bool
    }
    serviceManagedResourcesSettings: {
      cosmosDb: {
        collectionsThroughput: int
      }
    }
    sharedPrivateLinkResources: [
      {
        name: 'string'
        properties: {
          groupId: 'string'
          privateLinkResourceId: 'string'
          requestMessage: 'string'
          status: 'string'
        }
      }
    ]
    storageAccount: 'string'
    systemDatastoresAuthMode: 'string'
    v1LegacyMode: bool
    workspaceHubConfig: {
      additionalWorkspaceStorageAccounts: [
        'string'
      ]
      defaultWorkspaceResourceGroup: 'string'
    }
  }
  sku: {
    capacity: int
    family: 'string'
    name: 'string'
    size: 'string'
    tier: 'string'
  }
  tags: {
    {customized property}: 'string'
  }
}

Oggetti OutboundRule

Impostare la proprietà tipo di per specificare il tipo di oggetto.

Per FQDN, usare:

{
  destination: 'string'
  type: 'FQDN'
}

Per PrivateEndpoint, usare:

{
  destination: {
    serviceResourceId: 'string'
    sparkEnabled: bool
    sparkStatus: 'string'
    subresourceTarget: 'string'
  }
  fqdns: [
    'string'
  ]
  type: 'PrivateEndpoint'
}

Per ServiceTag, usare:

{
  destination: {
    action: 'string'
    addressPrefixes: [
      'string'
    ]
    portRanges: 'string'
    protocol: 'string'
    serviceTag: 'string'
  }
  type: 'ServiceTag'
}

Valori delle proprietà

Microsoft. MachineLearningServices/workspaces

Name	Description	Value
identity	Identità del servizio gestito assegnate a questa risorsa.	ManagedServiceIdentity
kind		string
location		string
name	Nome della risorsa	string Vincoli: Pattern = `^[a-zA-Z0-9][a-zA-Z0-9_-]{2,32}$` (obbligatorio)
proprietà	Attributi aggiuntivi dell'entità.	WorkspaceProperties (obbligatorio)
sku	Optional. Questo campo deve essere implementato dal provider di servizi di ripristino perché AML supporta più di un livello	Sku
tags	Tag delle risorse	Dizionario di nomi e valori di tag. Vedi tag nei template

ComputeRuntimeDto

Name	Description	Value
sparkRuntimeVersion		string

CosmosDbSettings

Name	Description	Value
collectionsThroughput		int

Proprietà Encryption

Name	Description	Value
cosmosDbResourceId	Account cosmosdb byok che il cliente porta per archiviare i dati del cliente con crittografia	string
identity	Identità da usare con keyVault	IdentityForCmk
keyVaultProperties	Dettagli dell'insieme di credenziali delle chiavi per eseguire la crittografia	KeyVaultProperties (obbligatorio)
searchAccountResourceId	Account di ricerca byok che il cliente porta per archiviare i dati del cliente con crittografia	string
Stato	Indica se la crittografia è abilitata o meno per l'area di lavoro.	'Disabled' 'Abilitato' (obbligatorio)
storageAccountResourceId	Account di archiviazione byok che il cliente porta per archiviare i dati del cliente con crittografia	string

FeatureStoreSettings

Name	Description	Value
computeRuntime		ComputeRuntimeDto
offlineStoreConnectionName		string
onlineStoreConnectionName		string

FqdnOutboundRule

Name	Description	Value
destination		string
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'FQDN' (obbligatorio)

IdentityForCmk

Name	Description	Value
userAssignedIdentity	UserAssignedIdentity da usare per recuperare la chiave di crittografia da KeyVault	string

KeyVaultProperties

Name	Description	Value
identityClientId	Attualmente è supportato solo l'identità del servizio gestito SystemAssigned. Questo è necessario quando supportiamo UserAssignedIdentities	string
keyIdentifier	Identificatore di chiave KeyVault per crittografare i dati	string Vincoli: Lunghezza minima = 1 Pattern = `[a-zA-Z0-9_]` (obbligatorio)
keyVaultArmId	KeyVault Arm ID che contiene la chiave di crittografia dei dati	string Vincoli: Lunghezza minima = 1 Pattern = `[a-zA-Z0-9_]` (obbligatorio)

ManagedNetworkProvisionStatus

Name	Description	Value
Pronto per le scintille		bool
Stato	Stato della rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Inactive'

ManagedNetworkSettings

Name	Description	Value
abilitareNetworkMonitor	Un flag per indicare se il monitoraggio deve essere abilitato per la rete gestita.	bool
firewallSku	Sku del firewall usato per le regole FQDN	'Basic' 'Standard'
isolationMode	Modalità di isolamento per la rete gestita di un'area di lavoro di Machine Learning.	'ConsentiInternetIn uscita' 'AllowOnlyApprovedOutbound' 'Disabled'
managedNetworkKind	Il tipo di rete gestita. Gli utenti possono passare da V1 a V2 per controlli di accesso granulari, ma non possono tornare a V1 una volta abilitata V2.	'V1' 'V2'
outboundRules	Dizionario di <OutboundRule>	managedNetworkSettingsOutboundRules
Stato	Stato del provisioning per la rete gestita di un'area di lavoro di Machine Learning.	ManagedNetworkProvisionStatus

ManagedNetworkSettingsOutboundRules

Name	Description	Value

ManagedServiceIdentity

Name	Description	Value
type	Tipo di identità del servizio gestito (in cui sono consentiti sia i tipi SystemAssigned che UserAssigned).	'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obbligatorio)
userAssignedIdentities	Set di identità assegnate dall'utente associate alla risorsa. Le chiavi del dizionario userAssignedIdentities saranno ID di risorsa ARM nel modulo: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft. ManagedIdentity/userAssignedIdentities/{identityName}. I valori del dizionario possono essere oggetti vuoti ({}) nelle richieste.	UserAssignedIdentities

Regola in uscita

Name	Description	Value
Categoria	Categoria di una regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Dipendenza' 'Recommended' 'Obbligatorio' 'Definito dall'utente'
Stato	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Deleting' 'Failed' 'Inactive' 'Provisioning'
type	Impostare su "FQDN" per il tipo FqdnOutboundRule. Impostare su 'PrivateEndpoint' per il tipo PrivateEndpointOutboundRule. Impostare su 'ServiceTag' per il tipo ServiceTagOutboundRule.	'FQDN' 'PrivateEndpoint' 'ServiceTag' (obbligatorio)

PrivateEndpointDestination

Name	Description	Value
serviceResourceId	Una definizione di tipo che riferisce l'id a una risorsa di Azure Resource Manager.	string
sparkEnabled		bool
sparkStatus	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Deleting' 'Failed' 'Inactive' 'Provisioning'
subresourceTarget		string

PrivateEndpointOutboundRule

Name	Description	Value
destination	Destinazione endpoint privato per una regola in uscita dell'endpoint privato per la rete gestita di un'area di lavoro di Machine Learning.	PrivateEndpointDestination
FQDNS		string[]
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'PrivateEndpoint' (obbligatorio)

ServerlessComputeSettings

Name	Description	Value
serverlessComputeCustomSubnet	ID risorsa di una subnet di rete virtuale esistente in cui devono essere distribuiti i nodi di calcolo serverless	string
serverlessComputeNoPublicIP	Flag per segnalare se i nodi di calcolo serverless distribuiti nella rete virtuale personalizzata non avrebbero indirizzi IP pubblici per un'area di lavoro con endpoint privato	bool

ServiceManagedResourcesSettings

Name	Description	Value
cosmosDb		CosmosDbSettings

Destinazione del Tag Servizio

Name	Description	Value
azione	Enumerazione dell'azione per la regola di rete.	'Allow' 'Deny'
indirizzoPrefissi	Facoltativo, se specificato, la proprietà ServiceTag verrà ignorata.	string[]
portRanges		string
protocol		string
serviceTag		string

ServiceTagOutboundRule

Name	Description	Value
destination	Destinazione tag di servizio per una regola in uscita tag di servizio per la rete gestita di un'area di lavoro di Machine Learning.	Destinazione del Service Tag
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'ServiceTag' (obbligatorio)

SharedPrivateLinkResource

Name	Description	Value
name	Nome univoco del collegamento privato	string
proprietà	Proprietà di una risorsa di collegamento privato condiviso.	SharedPrivateLinkResourceProperty

SharedPrivateLinkResourceProperty

Name	Description	Value
groupId	ID gruppo del collegamento privato	string
privateLinkResourceId	ID risorsa a cui è collegato il collegamento privato	string
messaggioRichiesta	Messaggio di richiesta	string
Stato	Stato della connessione del consumatore del servizio con il fornitore del servizio\r\nPossibili transizioni di stato\r\nIn sospeso -> Approvato (Il fornitore di servizi approva la richiesta di connessione)\r\nPendente -> Rifiutato (Il fornitore di servizi rifiuta la richiesta di connessione)\r\nIn sospeso -> Disconnesso (Il fornitore di servizi cancella la connessione)\r\nApprovato -> Rifiutato (Il fornitore di servizi rifiuta la connessione approvata)\r\nApprovato -> Disconnesso (Il fornitore di servizi cancella la connessione)\r\nRifiutato - > In sospeso (Il consumatore del servizio riavvia la richiesta di connessione respinta)\r\nRifiutata -> Disconnesso (il fornitore di servizi elimina la connessione)	'Approvato' 'Disconnesso' 'In sospeso' 'Rejected' 'Timeout'

Sku

Name	Description	Value
Capacità	Se lo SKU supporta l'aumento o l'aumento del numero di istanze, è necessario includere l'intero della capacità. Se non è possibile aumentare o ridurre il numero di istanze per la risorsa, potrebbe essere omesso.	int
Famiglia	Se il servizio ha generazioni diverse di hardware, per lo stesso SKU, è possibile acquisire qui.	string
name	Nome dello SKU. Ad esempio - P3. Si tratta in genere di un codice lettera+numero	stringa (obbligatorio)
size	Dimensioni dello SKU. Quando il campo nome è la combinazione di livello e un altro valore, si tratta del codice autonomo.	string
livello	Questo campo deve essere implementato dal provider di risorse se il servizio ha più di un livello, ma non è necessario in un PUT.	'Basic' 'Free' 'Premium' 'Standard'

UserAssignedIdentities

Name	Description	Value

UserAssignedIdentity

Name	Description	Value

WorkspaceHubConfig

Name	Description	Value
additionalWorkspaceStorageAccounts		string[]
defaultWorkspaceResourceGroup		string

Proprietà dell'area di lavoro

Name	Description	Value
allowPublicAccessWhenBehindVnet	Flag per indicare se consentire l'accesso pubblico quando si è dietro la rete virtuale.	bool
Analisi delle applicazioni	ID ARM di Application Insights associato a questa area di lavoro.	string
associatedWorkspaces		string[]
containerRegistry	ID ARM del registro contenitori associato a questa area di lavoro.	string
description	Descrizione dell'area di lavoro.	string
discoveryUrl	URL del servizio di individuazione per identificare gli endpoint a livello di area per i servizi di sperimentazione di Machine Learning	string
enableDataIsolation		bool
enableServiceSideCMKEncryption		bool
encryption		Proprietà Encryption
featureStoreSettings	Impostazioni per l'area di lavoro tipo archivio funzionalità.	FeatureStoreSettings
friendlyName	Nome descrittivo per questa area di lavoro. Nome modificabile	string
hbiWorkspace	Flag per segnalare i dati HBI nell'area di lavoro e ridurre i dati di diagnostica raccolti dal servizio	bool
hubResourceId		string
imageBuildCompute	Nome di calcolo per la compilazione di immagini	string
KeyVault	ID ARM dell'insieme di credenziali delle chiavi associato a questa area di lavoro. Non è possibile modificarla dopo la creazione dell'area di lavoro	string
gestitodi rete	Impostazioni di rete gestita per un'area di lavoro di Machine Learning.	managedNetworkSettings
primaryUserAssignedIdentity	ID risorsa identità assegnata dall'utente che rappresenta l'identità dell'area di lavoro.	string
provisioningNetworkNow	Impostare per attivare il provisioning della rete virtuale gestita con le opzioni predefinite durante la creazione di un'area di lavoro con la rete virtuale gestita abilitata oppure non esegue alcuna operazione.	bool
publicNetworkAccess	Indica se le richieste dalla rete pubblica sono consentite.	'Disabled' 'Enabled'
serverlessComputeSettings	Impostazioni per il calcolo serverless in un'area di lavoro	ServerlessComputeSettings
serviceManagedResourcesSettings	Impostazioni delle risorse gestite dal servizio.	ServiceManagedResourcesSettings
sharedPrivateLinkResources	Elenco di risorse di collegamento privato condiviso in questa area di lavoro.	SharedPrivateLinkResource[]
storageAccount	ID ARM dell'account di archiviazione associato a questa area di lavoro. Non è possibile modificarla dopo la creazione dell'area di lavoro	string
systemDatastoresAuthMode	Modalità di autenticazione usata per accedere agli archivi dati di sistema dell'area di lavoro.	'Chiave di accesso' 'Identità' 'UserDelegationSAS'
v1Modalità legacy	L'abilitazione di v1_legacy_mode può impedire l'uso di funzionalità fornite dall'API v2.	bool
workspaceHubConfig	Oggetto di configurazione di WorkspaceHub.	WorkspaceHubConfig

Area di lavoroTags

Name	Description	Value

Esempi di utilizzo

Esempi di Bicep

Un esempio base di implementazione di Azure Machine Learning Workspace.

param resourceName string = 'acctest0001'
param location string = 'westeurope'

resource storageAccount 'Microsoft.Storage/storageAccounts@2021-09-01' = {
  name: resourceName
  location: location
  sku: {
    name: 'Standard_LRS'
  }
  kind: 'StorageV2'
  properties: {
    accessTier: 'Hot'
    allowBlobPublicAccess: true
    allowCrossTenantReplication: true
    allowSharedKeyAccess: true
    defaultToOAuthAuthentication: false
    encryption: {
      keySource: 'Microsoft.Storage'
      services: {
        queue: {
          keyType: 'Service'
        }
        table: {
          keyType: 'Service'
        }
      }
    }
    isHnsEnabled: false
    isNfsV3Enabled: false
    isSftpEnabled: false
    minimumTlsVersion: 'TLS1_2'
    networkAcls: {
      defaultAction: 'Allow'
    }
    publicNetworkAccess: 'Enabled'
    supportsHttpsTrafficOnly: true
  }
}

resource vault 'Microsoft.KeyVault/vaults@2021-10-01' = {
  name: resourceName
  location: location
  properties: {
    accessPolicies: [
      {
        objectId: '45a2d1ea-488a-44b0-bb2e-3cd8e485ebef'
        permissions: {
          certificates: [
            'all'
          ]
          keys: [
            'all'
          ]
          secrets: [
            'all'
          ]
          storage: []
        }
        tenantId: tenant().tenantId
      }
    ]
    createMode: 'default'
    enablePurgeProtection: true
    enableRbacAuthorization: false
    enableSoftDelete: true
    enabledForDeployment: false
    enabledForDiskEncryption: false
    enabledForTemplateDeployment: false
    publicNetworkAccess: 'Enabled'
    sku: {
      family: 'A'
      name: 'standard'
    }
    tenantId: tenant().tenantId
  }
}

resource workspace 'Microsoft.MachineLearningServices/workspaces@2022-05-01' = {
  name: resourceName
  location: location
  sku: {
    name: 'Basic'
    tier: 'Basic'
  }
  properties: {
    applicationInsights: component.id
    keyVault: vault.id
    publicNetworkAccess: 'Disabled'
    storageAccount: storageAccount.id
    v1LegacyMode: false
  }
}

resource component 'Microsoft.Insights/components@2020-02-02' = {
  name: resourceName
  location: location
  kind: 'web'
  properties: {
    Application_Type: 'web'
    DisableIpMasking: false
    DisableLocalAuth: false
    ForceCustomerStorageForProfiler: false
    RetentionInDays: 90
    SamplingPercentage: 100
    publicNetworkAccessForIngestion: 'Enabled'
    publicNetworkAccessForQuery: 'Enabled'
  }
}

Moduli verificati di Azure

I seguenti Azure Moduli Verificati possono essere utilizzati per distribuire questo tipo di risorsa.

Module	Description
Machine Learning Spazio di lavoro dei servizi	Modulo Risorse AVM per lo spazio di lavoro di Machine Learning Services

Esempi di Azure Quickstart

I seguenti template Azure Quickstart contengono Bicep esempi per il deployment di questo tipo di risorsa.

File Bicep	Description
Azure AI Foundry configurazione base	Questo set di template dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA.
Azure AI Foundry configurazione base	Questo set di template dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA.
Rete di fonderia di intelligenza artificiale di Azure con restrizioni	Questo set di modelli illustra come configurare Azure AI Foundry con il collegamento privato e l'uscita disabilitati, usando le chiavi gestite da Microsoft per la crittografia e la configurazione dell'identità gestita da Microsoft per la risorsa di intelligenza artificiale.
Azure AI Foundry con Microsoft Entra ID Autenticazione	Questo insieme di template dimostra come configurare Azure AI Foundry con l'autenticazione Microsoft Entra ID per risorse dipendenti, come Azure AI Services e Archiviazione di Azure.
Azure AI Studio configurazione base	Questo set di template dimostra come configurare Azure AI Studio con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di intelligenza artificiale.
con restrizioni di rete di Azure AI Studio	Questo set di modelli illustra come configurare Azure AI Studio con collegamento privato e uscita disabilitato, usando chiavi gestite da Microsoft per la crittografia e la configurazione delle identità gestite da Microsoft per la risorsa di intelligenza artificiale.
configurazione sicura end-to-end di Azure Machine Learning	Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
configurazione sicura end-to-end di Azure Machine Learning (legacy)	Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
Chiavi API di configurazione dell'agente di base	Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione base utilizzando l'autenticazione delle chiavi API per la connessione AI Service/AOAI. Gli Agent utilizzano risorse multi-tenant di ricerca e archiviazione completamente gestite da Microsoft. Non avrai ™visibilità o controllo su queste risorse Azure sottostanti.
Identità di Configurazione Base dell'Agente	Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione di base utilizzando l'autenticazione dell'identità gestita per la connessione AI Service/AOAI. Gli Agent utilizzano risorse multi-tenant di ricerca e archiviazione completamente gestite da Microsoft. Non avrai ™visibilità o controllo su queste risorse Azure sottostanti.
Crea un target di calcolo AKS con un indirizzo IP privato	Questo template crea un target di calcolo AKS in un dato spazio di lavoro del servizio Azure Machine Learning con un indirizzo IP privato.
Crea uno spazio di lavoro Azure Machine Learning servizi	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. Questa configurazione descrive il set minimo di risorse di cui hai bisogno per iniziare con Azure Machine Learning.
Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK)	Questo template di deployment specifica come creare uno spazio di lavoro Azure Machine Learning con crittografia lato servizio utilizzando le tue chiavi di crittografia.
Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK)	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. L'esempio mostra come configurare Azure Machine Learning per la crittografia con una chiave di crittografia gestita dal cliente.
Creare un'area di lavoro del servizio Azure Machine Learning (legacy)	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
Creare un'area di lavoro del servizio Azure Machine Learning (vnet)	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
Distribuisci Secure AI Foundry con una rete virtuale gestita	Questo modello crea un ambiente Azure AI Foundry sicuro con solide restrizioni di sicurezza della rete e delle identità.
Agente protetto dalla rete con identità gestita dall'utente	Questo set di modelli illustra come configurare il servizio Agente di intelligenza artificiale di Azure con isolamento della rete virtuale usando l'autenticazione dell'identità gestita dall'utente per la connessione al servizio di intelligenza artificiale/AOAI e i collegamenti di rete privata per connettere l'agente ai dati sicuri.
Configurazione Agente Standard	Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione standard, cioè con l'autenticazione dell'identità gestita per connessioni progetto/hub e l'accesso pubblico a internet abilitato. Gli agenti usano risorse di ricerca e archiviazione a tenant singolo di proprietà del cliente. Con questa configurazione, si ha il controllo completo e la visibilità su queste risorse, ma si comportano costi in base all'utilizzo.

Definizione di risorsa del modello di Resource Manager

Il tipo di risorsa delle aree di lavoro può essere distribuito con operazioni destinate a:

Resource groups - Vedi resource group

Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.

Formato di risorsa

Per creare un Microsoft. Risorsa MachineLearningServices/workspaces, aggiungi il seguente JSON al tuo template.

{
  "type": "Microsoft.MachineLearningServices/workspaces",
  "apiVersion": "2026-03-01",
  "name": "string",
  "identity": {
    "type": "string",
    "userAssignedIdentities": {
      "{customized property}": {
      }
    }
  },
  "kind": "string",
  "location": "string",
  "properties": {
    "allowPublicAccessWhenBehindVnet": "bool",
    "applicationInsights": "string",
    "associatedWorkspaces": [ "string" ],
    "containerRegistry": "string",
    "description": "string",
    "discoveryUrl": "string",
    "enableDataIsolation": "bool",
    "enableServiceSideCMKEncryption": "bool",
    "encryption": {
      "cosmosDbResourceId": "string",
      "identity": {
        "userAssignedIdentity": "string"
      },
      "keyVaultProperties": {
        "identityClientId": "string",
        "keyIdentifier": "string",
        "keyVaultArmId": "string"
      },
      "searchAccountResourceId": "string",
      "status": "string",
      "storageAccountResourceId": "string"
    },
    "featureStoreSettings": {
      "computeRuntime": {
        "sparkRuntimeVersion": "string"
      },
      "offlineStoreConnectionName": "string",
      "onlineStoreConnectionName": "string"
    },
    "friendlyName": "string",
    "hbiWorkspace": "bool",
    "hubResourceId": "string",
    "imageBuildCompute": "string",
    "keyVault": "string",
    "managedNetwork": {
      "enableNetworkMonitor": "bool",
      "firewallSku": "string",
      "isolationMode": "string",
      "managedNetworkKind": "string",
      "outboundRules": {
        "{customized property}": {
          "category": "string",
          "status": "string",
          "type": "string"
          // For remaining properties, see OutboundRule objects
        }
      },
      "status": {
        "sparkReady": "bool",
        "status": "string"
      }
    },
    "primaryUserAssignedIdentity": "string",
    "provisionNetworkNow": "bool",
    "publicNetworkAccess": "string",
    "serverlessComputeSettings": {
      "serverlessComputeCustomSubnet": "string",
      "serverlessComputeNoPublicIP": "bool"
    },
    "serviceManagedResourcesSettings": {
      "cosmosDb": {
        "collectionsThroughput": "int"
      }
    },
    "sharedPrivateLinkResources": [
      {
        "name": "string",
        "properties": {
          "groupId": "string",
          "privateLinkResourceId": "string",
          "requestMessage": "string",
          "status": "string"
        }
      }
    ],
    "storageAccount": "string",
    "systemDatastoresAuthMode": "string",
    "v1LegacyMode": "bool",
    "workspaceHubConfig": {
      "additionalWorkspaceStorageAccounts": [ "string" ],
      "defaultWorkspaceResourceGroup": "string"
    }
  },
  "sku": {
    "capacity": "int",
    "family": "string",
    "name": "string",
    "size": "string",
    "tier": "string"
  },
  "tags": {
    "{customized property}": "string"
  }
}

Oggetti OutboundRule

Impostare la proprietà tipo di per specificare il tipo di oggetto.

Per FQDN, usare:

{
  "destination": "string",
  "type": "FQDN"
}

Per PrivateEndpoint, usare:

{
  "destination": {
    "serviceResourceId": "string",
    "sparkEnabled": "bool",
    "sparkStatus": "string",
    "subresourceTarget": "string"
  },
  "fqdns": [ "string" ],
  "type": "PrivateEndpoint"
}

Per ServiceTag, usare:

{
  "destination": {
    "action": "string",
    "addressPrefixes": [ "string" ],
    "portRanges": "string",
    "protocol": "string",
    "serviceTag": "string"
  },
  "type": "ServiceTag"
}

Valori delle proprietà

Microsoft. MachineLearningServices/workspaces

Name	Description	Value
apiVersion	Versione dell'API	'2026-03-01'
identity	Identità del servizio gestito assegnate a questa risorsa.	ManagedServiceIdentity
kind		string
location		string
name	Nome della risorsa	string Vincoli: Pattern = `^[a-zA-Z0-9][a-zA-Z0-9_-]{2,32}$` (obbligatorio)
proprietà	Attributi aggiuntivi dell'entità.	WorkspaceProperties (obbligatorio)
sku	Optional. Questo campo deve essere implementato dal provider di servizi di ripristino perché AML supporta più di un livello	Sku
tags	Tag delle risorse	Dizionario di nomi e valori di tag. Vedi tag nei template
type	Tipo di risorsa	'Microsoft. MachineLearningServices/workspace

ComputeRuntimeDto

Name	Description	Value
sparkRuntimeVersion		string

CosmosDbSettings

Name	Description	Value
collectionsThroughput		int

Proprietà Encryption

Name	Description	Value
cosmosDbResourceId	Account cosmosdb byok che il cliente porta per archiviare i dati del cliente con crittografia	string
identity	Identità da usare con keyVault	IdentityForCmk
keyVaultProperties	Dettagli dell'insieme di credenziali delle chiavi per eseguire la crittografia	KeyVaultProperties (obbligatorio)
searchAccountResourceId	Account di ricerca byok che il cliente porta per archiviare i dati del cliente con crittografia	string
Stato	Indica se la crittografia è abilitata o meno per l'area di lavoro.	'Disabled' 'Abilitato' (obbligatorio)
storageAccountResourceId	Account di archiviazione byok che il cliente porta per archiviare i dati del cliente con crittografia	string

FeatureStoreSettings

Name	Description	Value
computeRuntime		ComputeRuntimeDto
offlineStoreConnectionName		string
onlineStoreConnectionName		string

FqdnOutboundRule

Name	Description	Value
destination		string
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'FQDN' (obbligatorio)

IdentityForCmk

Name	Description	Value
userAssignedIdentity	UserAssignedIdentity da usare per recuperare la chiave di crittografia da KeyVault	string

KeyVaultProperties

Name	Description	Value
identityClientId	Attualmente è supportato solo l'identità del servizio gestito SystemAssigned. Questo è necessario quando supportiamo UserAssignedIdentities	string
keyIdentifier	Identificatore di chiave KeyVault per crittografare i dati	string Vincoli: Lunghezza minima = 1 Pattern = `[a-zA-Z0-9_]` (obbligatorio)
keyVaultArmId	KeyVault Arm ID che contiene la chiave di crittografia dei dati	string Vincoli: Lunghezza minima = 1 Pattern = `[a-zA-Z0-9_]` (obbligatorio)

ManagedNetworkProvisionStatus

Name	Description	Value
Pronto per le scintille		bool
Stato	Stato della rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Inactive'

ManagedNetworkSettings

Name	Description	Value
abilitareNetworkMonitor	Un flag per indicare se il monitoraggio deve essere abilitato per la rete gestita.	bool
firewallSku	Sku del firewall usato per le regole FQDN	'Basic' 'Standard'
isolationMode	Modalità di isolamento per la rete gestita di un'area di lavoro di Machine Learning.	'ConsentiInternetIn uscita' 'AllowOnlyApprovedOutbound' 'Disabled'
managedNetworkKind	Il tipo di rete gestita. Gli utenti possono passare da V1 a V2 per controlli di accesso granulari, ma non possono tornare a V1 una volta abilitata V2.	'V1' 'V2'
outboundRules	Dizionario di <OutboundRule>	managedNetworkSettingsOutboundRules
Stato	Stato del provisioning per la rete gestita di un'area di lavoro di Machine Learning.	ManagedNetworkProvisionStatus

ManagedNetworkSettingsOutboundRules

Name	Description	Value

ManagedServiceIdentity

Name	Description	Value
type	Tipo di identità del servizio gestito (in cui sono consentiti sia i tipi SystemAssigned che UserAssigned).	'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obbligatorio)
userAssignedIdentities	Set di identità assegnate dall'utente associate alla risorsa. Le chiavi del dizionario userAssignedIdentities saranno ID di risorsa ARM nel modulo: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft. ManagedIdentity/userAssignedIdentities/{identityName}. I valori del dizionario possono essere oggetti vuoti ({}) nelle richieste.	UserAssignedIdentities

Regola in uscita

Name	Description	Value
Categoria	Categoria di una regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Dipendenza' 'Recommended' 'Obbligatorio' 'Definito dall'utente'
Stato	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Deleting' 'Failed' 'Inactive' 'Provisioning'
type	Impostare su "FQDN" per il tipo FqdnOutboundRule. Impostare su 'PrivateEndpoint' per il tipo PrivateEndpointOutboundRule. Impostare su 'ServiceTag' per il tipo ServiceTagOutboundRule.	'FQDN' 'PrivateEndpoint' 'ServiceTag' (obbligatorio)

PrivateEndpointDestination

Name	Description	Value
serviceResourceId	Una definizione di tipo che riferisce l'id a una risorsa di Azure Resource Manager.	string
sparkEnabled		bool
sparkStatus	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Deleting' 'Failed' 'Inactive' 'Provisioning'
subresourceTarget		string

PrivateEndpointOutboundRule

Name	Description	Value
destination	Destinazione endpoint privato per una regola in uscita dell'endpoint privato per la rete gestita di un'area di lavoro di Machine Learning.	PrivateEndpointDestination
FQDNS		string[]
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'PrivateEndpoint' (obbligatorio)

ServerlessComputeSettings

Name	Description	Value
serverlessComputeCustomSubnet	ID risorsa di una subnet di rete virtuale esistente in cui devono essere distribuiti i nodi di calcolo serverless	string
serverlessComputeNoPublicIP	Flag per segnalare se i nodi di calcolo serverless distribuiti nella rete virtuale personalizzata non avrebbero indirizzi IP pubblici per un'area di lavoro con endpoint privato	bool

ServiceManagedResourcesSettings

Name	Description	Value
cosmosDb		CosmosDbSettings

Destinazione del Tag Servizio

Name	Description	Value
azione	Enumerazione dell'azione per la regola di rete.	'Allow' 'Deny'
indirizzoPrefissi	Facoltativo, se specificato, la proprietà ServiceTag verrà ignorata.	string[]
portRanges		string
protocol		string
serviceTag		string

ServiceTagOutboundRule

Name	Description	Value
destination	Destinazione tag di servizio per una regola in uscita tag di servizio per la rete gestita di un'area di lavoro di Machine Learning.	Destinazione del Service Tag
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'ServiceTag' (obbligatorio)

SharedPrivateLinkResource

Name	Description	Value
name	Nome univoco del collegamento privato	string
proprietà	Proprietà di una risorsa di collegamento privato condiviso.	SharedPrivateLinkResourceProperty

SharedPrivateLinkResourceProperty

Name	Description	Value
groupId	ID gruppo del collegamento privato	string
privateLinkResourceId	ID risorsa a cui è collegato il collegamento privato	string
messaggioRichiesta	Messaggio di richiesta	string
Stato	Stato della connessione del consumatore del servizio con il fornitore del servizio\r\nPossibili transizioni di stato\r\nIn sospeso -> Approvato (Il fornitore di servizi approva la richiesta di connessione)\r\nPendente -> Rifiutato (Il fornitore di servizi rifiuta la richiesta di connessione)\r\nIn sospeso -> Disconnesso (Il fornitore di servizi cancella la connessione)\r\nApprovato -> Rifiutato (Il fornitore di servizi rifiuta la connessione approvata)\r\nApprovato -> Disconnesso (Il fornitore di servizi cancella la connessione)\r\nRifiutato - > In sospeso (Il consumatore del servizio riavvia la richiesta di connessione respinta)\r\nRifiutata -> Disconnesso (il fornitore di servizi elimina la connessione)	'Approvato' 'Disconnesso' 'In sospeso' 'Rejected' 'Timeout'

Sku

Name	Description	Value
Capacità	Se lo SKU supporta l'aumento o l'aumento del numero di istanze, è necessario includere l'intero della capacità. Se non è possibile aumentare o ridurre il numero di istanze per la risorsa, potrebbe essere omesso.	int
Famiglia	Se il servizio ha generazioni diverse di hardware, per lo stesso SKU, è possibile acquisire qui.	string
name	Nome dello SKU. Ad esempio - P3. Si tratta in genere di un codice lettera+numero	stringa (obbligatorio)
size	Dimensioni dello SKU. Quando il campo nome è la combinazione di livello e un altro valore, si tratta del codice autonomo.	string
livello	Questo campo deve essere implementato dal provider di risorse se il servizio ha più di un livello, ma non è necessario in un PUT.	'Basic' 'Free' 'Premium' 'Standard'

UserAssignedIdentities

Name	Description	Value

UserAssignedIdentity

Name	Description	Value

WorkspaceHubConfig

Name	Description	Value
additionalWorkspaceStorageAccounts		string[]
defaultWorkspaceResourceGroup		string

Proprietà dell'area di lavoro

Name	Description	Value
allowPublicAccessWhenBehindVnet	Flag per indicare se consentire l'accesso pubblico quando si è dietro la rete virtuale.	bool
Analisi delle applicazioni	ID ARM di Application Insights associato a questa area di lavoro.	string
associatedWorkspaces		string[]
containerRegistry	ID ARM del registro contenitori associato a questa area di lavoro.	string
description	Descrizione dell'area di lavoro.	string
discoveryUrl	URL del servizio di individuazione per identificare gli endpoint a livello di area per i servizi di sperimentazione di Machine Learning	string
enableDataIsolation		bool
enableServiceSideCMKEncryption		bool
encryption		Proprietà Encryption
featureStoreSettings	Impostazioni per l'area di lavoro tipo archivio funzionalità.	FeatureStoreSettings
friendlyName	Nome descrittivo per questa area di lavoro. Nome modificabile	string
hbiWorkspace	Flag per segnalare i dati HBI nell'area di lavoro e ridurre i dati di diagnostica raccolti dal servizio	bool
hubResourceId		string
imageBuildCompute	Nome di calcolo per la compilazione di immagini	string
KeyVault	ID ARM dell'insieme di credenziali delle chiavi associato a questa area di lavoro. Non è possibile modificarla dopo la creazione dell'area di lavoro	string
gestitodi rete	Impostazioni di rete gestita per un'area di lavoro di Machine Learning.	managedNetworkSettings
primaryUserAssignedIdentity	ID risorsa identità assegnata dall'utente che rappresenta l'identità dell'area di lavoro.	string
provisioningNetworkNow	Impostare per attivare il provisioning della rete virtuale gestita con le opzioni predefinite durante la creazione di un'area di lavoro con la rete virtuale gestita abilitata oppure non esegue alcuna operazione.	bool
publicNetworkAccess	Indica se le richieste dalla rete pubblica sono consentite.	'Disabled' 'Enabled'
serverlessComputeSettings	Impostazioni per il calcolo serverless in un'area di lavoro	ServerlessComputeSettings
serviceManagedResourcesSettings	Impostazioni delle risorse gestite dal servizio.	ServiceManagedResourcesSettings
sharedPrivateLinkResources	Elenco di risorse di collegamento privato condiviso in questa area di lavoro.	SharedPrivateLinkResource[]
storageAccount	ID ARM dell'account di archiviazione associato a questa area di lavoro. Non è possibile modificarla dopo la creazione dell'area di lavoro	string
systemDatastoresAuthMode	Modalità di autenticazione usata per accedere agli archivi dati di sistema dell'area di lavoro.	'Chiave di accesso' 'Identità' 'UserDelegationSAS'
v1Modalità legacy	L'abilitazione di v1_legacy_mode può impedire l'uso di funzionalità fornite dall'API v2.	bool
workspaceHubConfig	Oggetto di configurazione di WorkspaceHub.	WorkspaceHubConfig

Area di lavoroTags

Name	Description	Value

Esempi di utilizzo

Modelli di avvio rapido di Azure

I seguenti template Azure Quickstart distribuiscono questo tipo di risorsa.

Template	Description
Azure AI Foundry configurazione base	Questo set di template dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA.
Azure AI Foundry configurazione base	Questo set di template dimostra come configurare Azure AI Foundry con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di IA.
Rete di fonderia di intelligenza artificiale di Azure con restrizioni	Questo set di modelli illustra come configurare Azure AI Foundry con il collegamento privato e l'uscita disabilitati, usando le chiavi gestite da Microsoft per la crittografia e la configurazione dell'identità gestita da Microsoft per la risorsa di intelligenza artificiale.
Azure AI Foundry con Microsoft Entra ID Autenticazione	Questo insieme di template dimostra come configurare Azure AI Foundry con l'autenticazione Microsoft Entra ID per risorse dipendenti, come Azure AI Services e Archiviazione di Azure.
Azure AI Studio configurazione base	Questo set di template dimostra come configurare Azure AI Studio con la configurazione base, cioè con accesso pubblico a internet abilitato, chiavi gestite da Microsoft per la crittografia e configurazione dell'identità gestita da Microsoft per la risorsa di intelligenza artificiale.
con restrizioni di rete di Azure AI Studio	Questo set di modelli illustra come configurare Azure AI Studio con collegamento privato e uscita disabilitato, usando chiavi gestite da Microsoft per la crittografia e la configurazione delle identità gestite da Microsoft per la risorsa di intelligenza artificiale.
configurazione sicura end-to-end di Azure Machine Learning	Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
configurazione sicura end-to-end di Azure Machine Learning (legacy)	Questo set di modelli Bicep illustra come configurare l'endpoint end-to-end di Azure Machine Learning in una configurazione sicura. Questa implementazione di riferimento include l'area di lavoro, un cluster di calcolo, un'istanza di calcolo e un cluster del servizio Azure Kubernetes privato collegato.
Azure Machine Learning Spazio di lavoro	Questo template crea un nuovo Azure Machine Learning Workspace, insieme a un account di archiviazione criptato, KeyVault e Applications Insights Logging
Chiavi API di configurazione dell'agente di base	Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione base utilizzando l'autenticazione delle chiavi API per la connessione AI Service/AOAI. Gli Agent utilizzano risorse multi-tenant di ricerca e archiviazione completamente gestite da Microsoft. Non avrai ™visibilità o controllo su queste risorse Azure sottostanti.
Identità di Configurazione Base dell'Agente	Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione di base utilizzando l'autenticazione dell'identità gestita per la connessione AI Service/AOAI. Gli Agent utilizzano risorse multi-tenant di ricerca e archiviazione completamente gestite da Microsoft. Non avrai ™visibilità o controllo su queste risorse Azure sottostanti.
Crea uno spazio di lavoro AML con più dataset e dataset Datastores	Questo template crea un workspace Azure Machine Learning con molteplici dataset e datastore.
Crea un target di calcolo AKS con un indirizzo IP privato	Questo template crea un target di calcolo AKS in un dato spazio di lavoro del servizio Azure Machine Learning con un indirizzo IP privato.
Crea uno spazio di lavoro Azure Machine Learning servizi	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. Questa configurazione descrive il set minimo di risorse di cui hai bisogno per iniziare con Azure Machine Learning.
Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK)	Questo template di deployment specifica come creare uno spazio di lavoro Azure Machine Learning con crittografia lato servizio utilizzando le tue chiavi di crittografia.
Crea uno spazio di lavoro di Azure Machine Learning servizi (CMK)	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. L'esempio mostra come configurare Azure Machine Learning per la crittografia con una chiave di crittografia gestita dal cliente.
Creare un'area di lavoro del servizio Azure Machine Learning (legacy)	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
Creare un'area di lavoro del servizio Azure Machine Learning (vnet)	Questo modello di distribuzione specifica un'area di lavoro di Azure Machine Learning e le risorse associate, tra cui Azure Key Vault, Archiviazione di Azure, applicazione Azure Insights e Registro Azure Container. Questa configurazione descrive il set di risorse necessarie per iniziare a usare Azure Machine Learning in una configurazione isolata di rete.
Distribuisci Secure AI Foundry con una rete virtuale gestita	Questo modello crea un ambiente Azure AI Foundry sicuro con solide restrizioni di sicurezza della rete e delle identità.
Agente protetto dalla rete con identità gestita dall'utente	Questo set di modelli illustra come configurare il servizio Agente di intelligenza artificiale di Azure con isolamento della rete virtuale usando l'autenticazione dell'identità gestita dall'utente per la connessione al servizio di intelligenza artificiale/AOAI e i collegamenti di rete privata per connettere l'agente ai dati sicuri.
Configurazione Agente Standard	Questo set di template dimostra come configurare Azure AI Agent Service con la configurazione standard, cioè con l'autenticazione dell'identità gestita per connessioni progetto/hub e l'accesso pubblico a internet abilitato. Gli agenti usano risorse di ricerca e archiviazione a tenant singolo di proprietà del cliente. Con questa configurazione, si ha il controllo completo e la visibilità su queste risorse, ma si comportano costi in base all'utilizzo.

Definizione di risorsa Terraform (provider AzAPI)

Il tipo di risorsa delle aree di lavoro può essere distribuito con operazioni destinate a:

Gruppi di risorse

Per un elenco delle proprietà modificate in ogni versione dell'API, vedere log delle modifiche.

Formato di risorsa

Per creare un Microsoft. Risorsa MachineLearningServices/workspaces, aggiungi il seguente Terraform al tuo template.

resource "azapi_resource" "symbolicname" {
  type = "Microsoft.MachineLearningServices/workspaces@2026-03-01"
  name = "string"
  parent_id = "string"
  identity {
    type = "string"
    identity_ids = [
      "string"
    ]
  }
  location = "string"
  tags = {
    {customized property} = "string"
  }
  body = {
    kind = "string"
    properties = {
      allowPublicAccessWhenBehindVnet = bool
      applicationInsights = "string"
      associatedWorkspaces = [
        "string"
      ]
      containerRegistry = "string"
      description = "string"
      discoveryUrl = "string"
      enableDataIsolation = bool
      enableServiceSideCMKEncryption = bool
      encryption = {
        cosmosDbResourceId = "string"
        identity = {
          userAssignedIdentity = "string"
        }
        keyVaultProperties = {
          identityClientId = "string"
          keyIdentifier = "string"
          keyVaultArmId = "string"
        }
        searchAccountResourceId = "string"
        status = "string"
        storageAccountResourceId = "string"
      }
      featureStoreSettings = {
        computeRuntime = {
          sparkRuntimeVersion = "string"
        }
        offlineStoreConnectionName = "string"
        onlineStoreConnectionName = "string"
      }
      friendlyName = "string"
      hbiWorkspace = bool
      hubResourceId = "string"
      imageBuildCompute = "string"
      keyVault = "string"
      managedNetwork = {
        enableNetworkMonitor = bool
        firewallSku = "string"
        isolationMode = "string"
        managedNetworkKind = "string"
        outboundRules = {
          {customized property} = {
            category = "string"
            status = "string"
            type = "string"
            // For remaining properties, see OutboundRule objects
          }
        }
        status = {
          sparkReady = bool
          status = "string"
        }
      }
      primaryUserAssignedIdentity = "string"
      provisionNetworkNow = bool
      publicNetworkAccess = "string"
      serverlessComputeSettings = {
        serverlessComputeCustomSubnet = "string"
        serverlessComputeNoPublicIP = bool
      }
      serviceManagedResourcesSettings = {
        cosmosDb = {
          collectionsThroughput = int
        }
      }
      sharedPrivateLinkResources = [
        {
          name = "string"
          properties = {
            groupId = "string"
            privateLinkResourceId = "string"
            requestMessage = "string"
            status = "string"
          }
        }
      ]
      storageAccount = "string"
      systemDatastoresAuthMode = "string"
      v1LegacyMode = bool
      workspaceHubConfig = {
        additionalWorkspaceStorageAccounts = [
          "string"
        ]
        defaultWorkspaceResourceGroup = "string"
      }
    }
    sku = {
      capacity = int
      family = "string"
      name = "string"
      size = "string"
      tier = "string"
    }
  }
}

Oggetti OutboundRule

Impostare la proprietà tipo di per specificare il tipo di oggetto.

Per FQDN, usare:

{
  destination = "string"
  type = "FQDN"
}

Per PrivateEndpoint, usare:

{
  destination = {
    serviceResourceId = "string"
    sparkEnabled = bool
    sparkStatus = "string"
    subresourceTarget = "string"
  }
  fqdns = [
    "string"
  ]
  type = "PrivateEndpoint"
}

Per ServiceTag, usare:

{
  destination = {
    action = "string"
    addressPrefixes = [
      "string"
    ]
    portRanges = "string"
    protocol = "string"
    serviceTag = "string"
  }
  type = "ServiceTag"
}

Valori delle proprietà

Microsoft. MachineLearningServices/workspaces

Name	Description	Value
identity	Identità del servizio gestito assegnate a questa risorsa.	ManagedServiceIdentity
kind		string
location		string
name	Nome della risorsa	string Vincoli: Pattern = `^[a-zA-Z0-9][a-zA-Z0-9_-]{2,32}$` (obbligatorio)
proprietà	Attributi aggiuntivi dell'entità.	WorkspaceProperties (obbligatorio)
sku	Optional. Questo campo deve essere implementato dal provider di servizi di ripristino perché AML supporta più di un livello	Sku
tags	Tag delle risorse	Dizionario di nomi e valori di tag.
type	Tipo di risorsa	"Microsoft. MachineLearningServices/workspaces@2026-03-01"

ComputeRuntimeDto

Name	Description	Value
sparkRuntimeVersion		string

CosmosDbSettings

Name	Description	Value
collectionsThroughput		int

Proprietà Encryption

Name	Description	Value
cosmosDbResourceId	Account cosmosdb byok che il cliente porta per archiviare i dati del cliente con crittografia	string
identity	Identità da usare con keyVault	IdentityForCmk
keyVaultProperties	Dettagli dell'insieme di credenziali delle chiavi per eseguire la crittografia	KeyVaultProperties (obbligatorio)
searchAccountResourceId	Account di ricerca byok che il cliente porta per archiviare i dati del cliente con crittografia	string
Stato	Indica se la crittografia è abilitata o meno per l'area di lavoro.	'Disabled' 'Abilitato' (obbligatorio)
storageAccountResourceId	Account di archiviazione byok che il cliente porta per archiviare i dati del cliente con crittografia	string

FeatureStoreSettings

Name	Description	Value
computeRuntime		ComputeRuntimeDto
offlineStoreConnectionName		string
onlineStoreConnectionName		string

FqdnOutboundRule

Name	Description	Value
destination		string
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'FQDN' (obbligatorio)

IdentityForCmk

Name	Description	Value
userAssignedIdentity	UserAssignedIdentity da usare per recuperare la chiave di crittografia da KeyVault	string

KeyVaultProperties

Name	Description	Value
identityClientId	Attualmente è supportato solo l'identità del servizio gestito SystemAssigned. Questo è necessario quando supportiamo UserAssignedIdentities	string
keyIdentifier	Identificatore di chiave KeyVault per crittografare i dati	string Vincoli: Lunghezza minima = 1 Pattern = `[a-zA-Z0-9_]` (obbligatorio)
keyVaultArmId	KeyVault Arm ID che contiene la chiave di crittografia dei dati	string Vincoli: Lunghezza minima = 1 Pattern = `[a-zA-Z0-9_]` (obbligatorio)

ManagedNetworkProvisionStatus

Name	Description	Value
Pronto per le scintille		bool
Stato	Stato della rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Inactive'

ManagedNetworkSettings

Name	Description	Value
abilitareNetworkMonitor	Un flag per indicare se il monitoraggio deve essere abilitato per la rete gestita.	bool
firewallSku	Sku del firewall usato per le regole FQDN	'Basic' 'Standard'
isolationMode	Modalità di isolamento per la rete gestita di un'area di lavoro di Machine Learning.	'ConsentiInternetIn uscita' 'AllowOnlyApprovedOutbound' 'Disabled'
managedNetworkKind	Il tipo di rete gestita. Gli utenti possono passare da V1 a V2 per controlli di accesso granulari, ma non possono tornare a V1 una volta abilitata V2.	'V1' 'V2'
outboundRules	Dizionario di <OutboundRule>	managedNetworkSettingsOutboundRules
Stato	Stato del provisioning per la rete gestita di un'area di lavoro di Machine Learning.	ManagedNetworkProvisionStatus

ManagedNetworkSettingsOutboundRules

Name	Description	Value

ManagedServiceIdentity

Name	Description	Value
type	Tipo di identità del servizio gestito (in cui sono consentiti sia i tipi SystemAssigned che UserAssigned).	'None' 'SystemAssigned' 'SystemAssigned,UserAssigned' 'UserAssigned' (obbligatorio)
userAssignedIdentities	Set di identità assegnate dall'utente associate alla risorsa. Le chiavi del dizionario userAssignedIdentities saranno ID di risorsa ARM nel modulo: '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft. ManagedIdentity/userAssignedIdentities/{identityName}. I valori del dizionario possono essere oggetti vuoti ({}) nelle richieste.	UserAssignedIdentities

Regola in uscita

Name	Description	Value
Categoria	Categoria di una regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Dipendenza' 'Recommended' 'Obbligatorio' 'Definito dall'utente'
Stato	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Deleting' 'Failed' 'Inactive' 'Provisioning'
type	Impostare su "FQDN" per il tipo FqdnOutboundRule. Impostare su 'PrivateEndpoint' per il tipo PrivateEndpointOutboundRule. Impostare su 'ServiceTag' per il tipo ServiceTagOutboundRule.	'FQDN' 'PrivateEndpoint' 'ServiceTag' (obbligatorio)

PrivateEndpointDestination

Name	Description	Value
serviceResourceId	Una definizione di tipo che riferisce l'id a una risorsa di Azure Resource Manager.	string
sparkEnabled		bool
sparkStatus	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'Active' 'Deleting' 'Failed' 'Inactive' 'Provisioning'
subresourceTarget		string

PrivateEndpointOutboundRule

Name	Description	Value
destination	Destinazione endpoint privato per una regola in uscita dell'endpoint privato per la rete gestita di un'area di lavoro di Machine Learning.	PrivateEndpointDestination
FQDNS		string[]
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'PrivateEndpoint' (obbligatorio)

ServerlessComputeSettings

Name	Description	Value
serverlessComputeCustomSubnet	ID risorsa di una subnet di rete virtuale esistente in cui devono essere distribuiti i nodi di calcolo serverless	string
serverlessComputeNoPublicIP	Flag per segnalare se i nodi di calcolo serverless distribuiti nella rete virtuale personalizzata non avrebbero indirizzi IP pubblici per un'area di lavoro con endpoint privato	bool

ServiceManagedResourcesSettings

Name	Description	Value
cosmosDb		CosmosDbSettings

Destinazione del Tag Servizio

Name	Description	Value
azione	Enumerazione dell'azione per la regola di rete.	'Allow' 'Deny'
indirizzoPrefissi	Facoltativo, se specificato, la proprietà ServiceTag verrà ignorata.	string[]
portRanges		string
protocol		string
serviceTag		string

ServiceTagOutboundRule

Name	Description	Value
destination	Destinazione tag di servizio per una regola in uscita tag di servizio per la rete gestita di un'area di lavoro di Machine Learning.	Destinazione del Service Tag
type	Tipo di regola in uscita di rete gestita di un'area di lavoro di Machine Learning.	'ServiceTag' (obbligatorio)

SharedPrivateLinkResource

Name	Description	Value
name	Nome univoco del collegamento privato	string
proprietà	Proprietà di una risorsa di collegamento privato condiviso.	SharedPrivateLinkResourceProperty

SharedPrivateLinkResourceProperty

Name	Description	Value
groupId	ID gruppo del collegamento privato	string
privateLinkResourceId	ID risorsa a cui è collegato il collegamento privato	string
messaggioRichiesta	Messaggio di richiesta	string
Stato	Stato della connessione del consumatore del servizio con il fornitore del servizio\r\nPossibili transizioni di stato\r\nIn sospeso -> Approvato (Il fornitore di servizi approva la richiesta di connessione)\r\nPendente -> Rifiutato (Il fornitore di servizi rifiuta la richiesta di connessione)\r\nIn sospeso -> Disconnesso (Il fornitore di servizi cancella la connessione)\r\nApprovato -> Rifiutato (Il fornitore di servizi rifiuta la connessione approvata)\r\nApprovato -> Disconnesso (Il fornitore di servizi cancella la connessione)\r\nRifiutato - > In sospeso (Il consumatore del servizio riavvia la richiesta di connessione respinta)\r\nRifiutata -> Disconnesso (il fornitore di servizi elimina la connessione)	'Approvato' 'Disconnesso' 'In sospeso' 'Rejected' 'Timeout'

Sku

Name	Description	Value
Capacità	Se lo SKU supporta l'aumento o l'aumento del numero di istanze, è necessario includere l'intero della capacità. Se non è possibile aumentare o ridurre il numero di istanze per la risorsa, potrebbe essere omesso.	int
Famiglia	Se il servizio ha generazioni diverse di hardware, per lo stesso SKU, è possibile acquisire qui.	string
name	Nome dello SKU. Ad esempio - P3. Si tratta in genere di un codice lettera+numero	stringa (obbligatorio)
size	Dimensioni dello SKU. Quando il campo nome è la combinazione di livello e un altro valore, si tratta del codice autonomo.	string
livello	Questo campo deve essere implementato dal provider di risorse se il servizio ha più di un livello, ma non è necessario in un PUT.	'Basic' 'Free' 'Premium' 'Standard'

UserAssignedIdentities

Name	Description	Value

UserAssignedIdentity

Name	Description	Value

WorkspaceHubConfig

Name	Description	Value
additionalWorkspaceStorageAccounts		string[]
defaultWorkspaceResourceGroup		string

Proprietà dell'area di lavoro

Name	Description	Value
allowPublicAccessWhenBehindVnet	Flag per indicare se consentire l'accesso pubblico quando si è dietro la rete virtuale.	bool
Analisi delle applicazioni	ID ARM di Application Insights associato a questa area di lavoro.	string
associatedWorkspaces		string[]
containerRegistry	ID ARM del registro contenitori associato a questa area di lavoro.	string
description	Descrizione dell'area di lavoro.	string
discoveryUrl	URL del servizio di individuazione per identificare gli endpoint a livello di area per i servizi di sperimentazione di Machine Learning	string
enableDataIsolation		bool
enableServiceSideCMKEncryption		bool
encryption		Proprietà Encryption
featureStoreSettings	Impostazioni per l'area di lavoro tipo archivio funzionalità.	FeatureStoreSettings
friendlyName	Nome descrittivo per questa area di lavoro. Nome modificabile	string
hbiWorkspace	Flag per segnalare i dati HBI nell'area di lavoro e ridurre i dati di diagnostica raccolti dal servizio	bool
hubResourceId		string
imageBuildCompute	Nome di calcolo per la compilazione di immagini	string
KeyVault	ID ARM dell'insieme di credenziali delle chiavi associato a questa area di lavoro. Non è possibile modificarla dopo la creazione dell'area di lavoro	string
gestitodi rete	Impostazioni di rete gestita per un'area di lavoro di Machine Learning.	managedNetworkSettings
primaryUserAssignedIdentity	ID risorsa identità assegnata dall'utente che rappresenta l'identità dell'area di lavoro.	string
provisioningNetworkNow	Impostare per attivare il provisioning della rete virtuale gestita con le opzioni predefinite durante la creazione di un'area di lavoro con la rete virtuale gestita abilitata oppure non esegue alcuna operazione.	bool
publicNetworkAccess	Indica se le richieste dalla rete pubblica sono consentite.	'Disabled' 'Enabled'
serverlessComputeSettings	Impostazioni per il calcolo serverless in un'area di lavoro	ServerlessComputeSettings
serviceManagedResourcesSettings	Impostazioni delle risorse gestite dal servizio.	ServiceManagedResourcesSettings
sharedPrivateLinkResources	Elenco di risorse di collegamento privato condiviso in questa area di lavoro.	SharedPrivateLinkResource[]
storageAccount	ID ARM dell'account di archiviazione associato a questa area di lavoro. Non è possibile modificarla dopo la creazione dell'area di lavoro	string
systemDatastoresAuthMode	Modalità di autenticazione usata per accedere agli archivi dati di sistema dell'area di lavoro.	'Chiave di accesso' 'Identità' 'UserDelegationSAS'
v1Modalità legacy	L'abilitazione di v1_legacy_mode può impedire l'uso di funzionalità fornite dall'API v2.	bool
workspaceHubConfig	Oggetto di configurazione di WorkspaceHub.	WorkspaceHubConfig

Area di lavoroTags

Name	Description	Value

Esempi di utilizzo

Esempi di Terraform

Un esempio base di implementazione di Azure Machine Learning Workspace.

terraform {
  required_providers {
    azapi = {
      source = "Azure/azapi"
    }
    azurerm = {
      source = "hashicorp/azurerm"
    }
  }
}

provider "azurerm" {
  features {
  }
}

provider "azapi" {
  skip_provider_registration = false
}

variable "resource_name" {
  type    = string
  default = "acctest0001"
}

variable "location" {
  type    = string
  default = "westeurope"
}

data "azurerm_client_config" "current" {
}

resource "azapi_resource" "resourceGroup" {
  type     = "Microsoft.Resources/resourceGroups@2020-06-01"
  name     = var.resource_name
  location = var.location
  body = {
    tags = {
      stage = "test"
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

resource "azapi_resource" "storageAccount" {
  type      = "Microsoft.Storage/storageAccounts@2021-09-01"
  parent_id = azapi_resource.resourceGroup.id
  name      = var.resource_name
  location  = var.location
  body = {
    kind = "StorageV2"
    properties = {
      accessTier                   = "Hot"
      allowBlobPublicAccess        = true
      allowCrossTenantReplication  = true
      allowSharedKeyAccess         = true
      defaultToOAuthAuthentication = false
      encryption = {
        keySource = "Microsoft.Storage"
        services = {
          queue = {
            keyType = "Service"
          }
          table = {
            keyType = "Service"
          }
        }
      }
      isHnsEnabled      = false
      isNfsV3Enabled    = false
      isSftpEnabled     = false
      minimumTlsVersion = "TLS1_2"
      networkAcls = {
        defaultAction = "Allow"
      }
      publicNetworkAccess      = "Enabled"
      supportsHttpsTrafficOnly = true
    }
    sku = {
      name = "Standard_LRS"
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

resource "azapi_resource" "component" {
  type      = "Microsoft.Insights/components@2020-02-02"
  parent_id = azapi_resource.resourceGroup.id
  name      = var.resource_name
  location  = var.location
  body = {
    kind = "web"
    properties = {
      Application_Type                = "web"
      DisableIpMasking                = false
      DisableLocalAuth                = false
      ForceCustomerStorageForProfiler = false
      RetentionInDays                 = 90
      SamplingPercentage              = 100
      publicNetworkAccessForIngestion = "Enabled"
      publicNetworkAccessForQuery     = "Enabled"
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

resource "azapi_resource" "vault" {
  type      = "Microsoft.KeyVault/vaults@2021-10-01"
  parent_id = azapi_resource.resourceGroup.id
  name      = var.resource_name
  location  = var.location
  body = {
    properties = {
      accessPolicies = [
        {
          objectId = "45a2d1ea-488a-44b0-bb2e-3cd8e485ebef"
          permissions = {
            certificates = [
              "all",
            ]
            keys = [
              "all",
            ]
            secrets = [
              "all",
            ]
            storage = []
          }
          tenantId = data.azurerm_client_config.current.tenant_id
        }
      ]
      createMode                   = "default"
      enablePurgeProtection        = true
      enableRbacAuthorization      = false
      enableSoftDelete             = true
      enabledForDeployment         = false
      enabledForDiskEncryption     = false
      enabledForTemplateDeployment = false
      publicNetworkAccess          = "Enabled"
      sku = {
        family = "A"
        name   = "standard"
      }
      tenantId = data.azurerm_client_config.current.tenant_id
    }
  }
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

resource "azapi_resource" "workspace" {
  type      = "Microsoft.MachineLearningServices/workspaces@2022-05-01"
  parent_id = azapi_resource.resourceGroup.id
  name      = var.resource_name
  location  = var.location
  identity {
    type         = "SystemAssigned"
    identity_ids = []
  }
  body = {
    properties = {
      applicationInsights = azapi_resource.component.id
      keyVault            = azapi_resource.vault.id
      publicNetworkAccess = "Disabled"
      storageAccount      = azapi_resource.storageAccount.id
      v1LegacyMode        = false
    }
    sku = {
      name = "Basic"
      tier = "Basic"
    }
  }
  ignore_casing             = true
  schema_validation_enabled = false
  response_export_values    = ["*"]
}

Moduli verificati di Azure

I seguenti Azure Moduli Verificati possono essere utilizzati per distribuire questo tipo di risorsa.

Module	Description
Machine Learning Spazio di lavoro dei servizi	Modulo Risorse AVM per lo spazio di lavoro di Machine Learning Services

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-05-20