Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I den här artikeln lär du dig grundläggande rollbaserade åtkomstkontrollbegrepp (RBAC) för Microsoft Foundry, inklusive omfång, inbyggda roller och vanliga företagstilldelningsmönster.
Tips
RBAC-roller gäller när du autentiserar med hjälp av Microsoft Entra ID. Om du använder nyckelbaserad autentisering i stället ger nyckeln fullständig åtkomst utan rollbegränsningar. Microsoft rekommenderar att du använder Entra ID autentisering för förbättrad säkerhet och detaljerad åtkomstkontroll.
Mer information om autentisering och auktorisering i Microsoft Foundry finns i Authentication and Authorization.
Minsta rolltilldelningar för att komma igång
För nya användare av Azure och Microsoft Foundry, börja med dessa minsta tilldelningar så att både din användarhuvudnamn och din projekthanterade identitet kan komma åt Foundry-funktioner.
Du kan verifiera aktuella tilldelningar med hjälp av Checka åtkomst för en användare till en enda Azure resurs.
Tilldela foundry-användarrollen på din Foundry-resurs till användarens huvudnamn.
Viktigt!
Foundrys RBAC-roller har nyligen namnändrats. Foundry User, Foundry Owner, Foundry Account Owner och Foundry Project Manager hette tidigare Azure AI-användare, Azure AI-ägare, Azure AI-kontoägare och Azure AI Project Manager. Du kanske fortfarande ser de tidigare namnen på vissa platser medan namnbytet distribueras. Roll-ID:na och kärnbehörigheterna ändras inte av namnbytet.
Tilldela rollen Foundry User på din Foundry-resurs till ditt projekts hanterade identitet.
Om användaren som skapade projektet kan tilldela roller (till exempel genom att ha Azure Owner roll i prenumerations- eller resursgruppsomfånget), läggs båda tilldelningarna till automatiskt.
Använd följande snabbsteg för att tilldela dessa roller manuellt.
Tilldela en roll till användarens huvudnamn
Öppna din Foundry-resurs i Azure-portalen och gå till Access control (IAM). Skapa en rolltilldelning för Foundry-användare, ställ in Medlemmar på Användare, grupp eller tjänsthuvudnamn, välj ditt användarhuvudnamn och välj sedan Granska + tilldela.
Tilldela en roll till projektets hanterade identitet
I Azure-portalen öppnar du Foundry-projektet och går till Access control (IAM). Skapa en rolltilldelning för Foundry User, ställ in Medlemmar på Hanterad identitet, välj ditt projekts hanterade identitet och välj sedan Granska + tilldela.
Terminologi för rollbaserad åtkomstkontroll i Foundry
Om du vill förstå rollbaserad åtkomstkontroll i Microsoft Foundry kan du överväga två frågor för ditt företag.
- Vilka behörigheter vill jag att mitt team ska ha när jag skapar Microsoft Foundry?
- I vilket omfång vill jag tilldela behörigheter till mitt team?
Här är beskrivningar av viss terminologi som används i hela den här artikeln för att besvara dessa frågor.
- Behörigheter: Tillåtna eller nekade åtgärder som en identitet kan utföra på en resurs, till exempel att läsa, skriva, ta bort eller hantera både kontrollplans- och dataplansåtgärder.
- Scope: Uppsättningen Azure resurser som en rolltilldelning gäller för. Vanliga omfång är prenumeration, resursgrupp, Foundry-resurs eller Foundry-projekt.
- Role: En namngiven samling behörigheter som definierar vilka åtgärder som kan utföras på Azure resurser i ett visst omfång.
En identitet tilldelas en roll med specifika behörigheter i ett valt omfång baserat på företagets krav.
I Microsoft Foundry bör du överväga två omfång när du slutför rolltilldelningar.
- Foundry-resursen: Omfånget på den översta nivån som definierar gränsen för administration, säkerhet och övervakning för en Microsoft Foundry-miljö.
- Foundry-projekt: Ett underomfång inom en Foundry-resurs som används för att organisera arbete och framtvinga åtkomstkontroll för Foundry-API:er, verktyg och utvecklararbetsflöden.
Inbyggda roller
En byggd roll i Foundry är en roll som skapats av Microsoft som omfattar vanliga åtkomstscenarier som du kan tilldela till dina teammedlemmar. Viktiga inbyggda roller som används i Azure är Ägare, Deltagare och Läsare. Dessa roller är inte specifika för Foundry-resursbehörigheter.
För Foundry-resurser använder du ytterligare inbyggda roller för att följa principer för åtkomst med minst privilegier. I följande tabell visas viktiga inbyggda roller för Foundry och länkar till de exakta rolldefinitionerna i AI + strojové učenie inbyggda roller.
| Roll | Beskrivning |
|---|---|
| Foundry-användare | Ger läsare åtkomst till Foundry-projekt, Foundry-resurs och dataåtgärder för ditt Foundry-projekt. Om du kan tilldela roller tilldelas den här rollen automatiskt. I annat fall beviljar din prenumerationsägare eller en användare med rolltilldelningsbehörighet den. Minsta privilegierad åtkomstroll i Foundry. |
| Foundry Project Manager | Gör att du kan utföra administrativa åtgärder på Foundry-projekt, bygga och utveckla med projekt samt villkorligt tilldela rollen Foundry-användare till andra användaridentiteter. |
| Foundry-kontoägare | Ger fullständig behörighet att hantera projekt och resurser, och låter dig villkorligt tilldela rollerna Foundry User, ACR och övervakning till andra användaridentiteter. |
| Foundry-ägare | Ger fullständig åtkomst till att hantera projekt och resurser och bygga och utveckla med projekt. Låter dig villkorligt tilldela rollerna Foundry User, ACR och monitoring. Mycket privilegierad roll med självbetjäning utformad för digitalt födda. |
Observera
Tilldela inte inbyggda roller som börjar med Cognitive Services. De här rollerna är utformade för direkt åtkomst till AI Services-resurser och gäller inte för Foundry-scenarier. Använd inte på samma sätt rollen Azure AI Developer för Foundry-arbete. Trots namnet är den här rollen begränsad till Azure Machine Learning arbetsytor och Foundry-hubbar, inte till Foundry-projekt eller Foundry-värdbaserade agenter. För Foundry-projektåtkomst använder du Foundry-användare eller Foundry-ägare i stället.
Behörigheter för varje inbyggd roll
Använd följande tabell för att se de behörigheter som tillåts för varje inbyggd roll i Microsoft Foundry.
| Inbyggd roll | Skapa Foundry-projekt | Skapa Foundry-konton | Skapa och utveckla i ett projekt (dataåtgärder) | Slutför rolltilldelningar | Läsaråtkomst till projekt och konton | Hantera modeller | Publicera agenter |
|---|---|---|---|---|---|---|---|
| Foundry-användare | ✔ | ✔ | |||||
| Foundry Project Manager | ✔ | ✔ (tilldela endast foundry-användarroll) | ✔ | ✔ | |||
| Foundry-kontoägare | ✔ | ✔ | ✔ (tilldela Foundry-användarrollen, ACR-rollen och övervakningsrollen) | ✔ | ✔ | ||
| Foundry-ägare | ✔ | ✔ | ✔ | ✔ (tilldela rollerna Foundry User, ACR och övervakning) | ✔ | ✔ | ✔ |
Viktigt!
Foundrys RBAC-roller har nyligen namnändrats. Foundry User, Foundry Owner, Foundry Account Owner och Foundry Project Manager hette tidigare Azure AI-användare, Azure AI-ägare, Azure AI-kontoägare och Azure AI Project Manager. Du kanske fortfarande ser de tidigare namnen på vissa platser medan namnbytet distribueras. Roll-ID:na och kärnbehörigheterna ändras inte av namnbytet.
Använd följande tabell för att se de behörigheter som tillåts för varje viktig inbyggd Azure-roll (ägare, medarbetare, läsare).
| Inbyggd roll | Skapa Foundry-projekt | Skapa Foundry-konton | Skapa och utveckla i ett projekt (dataåtgärder) | Slutför rolltilldelningar | Läsaråtkomst till projekt och konton | Hantera modeller | Publicera agenter |
|---|---|---|---|---|---|---|---|
| Ägare | ✔ | ✔ | ✔ (tilldela valfri roll till alla användare) | ✔ | ✔ | ✔ | |
| Bidragsgivare | ✔ | ✔ | ✔ | ✔ | |||
| Läsare | ✔ |
För att publicera agenter behöver du rollen Foundry Project Manager (minimum) i foundry-resursomfånget. Mer information finns i Agent-program i Microsoft Foundry.
Använd de här flikarna för att utforska skillnaderna mellan de inbyggda rollerna, tilldelade på foundry-resursnivån (förutom Ägare, som har tilldelats på prenumerationsnivå)
Exempel på RBAC-mappningar för företag för projekt
Här är ett exempel på hur du implementerar rollbaserad åtkomstkontroll (RBAC) för en enterprise Foundry-resurs.
| Persona | Roll och omfång | Syfte |
|---|---|---|
| IT-administratör | Ägare för prenumerationsomfång | IT-administratören ser till att Foundry-resursen uppfyller företagets standarder. Tilldela hanterare rollen Foundry-kontoägare på resursen så att de kan skapa nya Foundry-konton. Tilldela chefer rollen Foundry Project Manager på resursen så att de kan skapa projekt i ett konto. |
| Chefer | Foundry-kontoägare för Foundry-resursomfång | Chefer hanterar Foundry-resursen, distribuerar modeller, granskar beräkningsresurser, granskar anslutningar och skapar delade anslutningar. De kan inte bygga i projekt, men de kan tilldela sig själva och andra rollen Foundry User för att börja bygga. |
| Teamledare eller leadutvecklare | Foundry Project Manager i Foundry-resursomfånget | Huvudutvecklare skapar projekt för sitt team och börjar bygga i dessa projekt. När du har skapat ett projekt bjuder projektägare in andra medlemmar och tilldelar rollen Foundry-användare . |
| Teammedlemmar eller utvecklare | Foundry-användare på Foundry-projektomfånget och Läsare på Foundry-resursomfånget | Utvecklare skapar agenter i ett projekt med fördistribuerade Foundry-modeller och fördefinierade anslutningar. |
Hantera rolltilldelningar
Om du vill hantera roller i Foundry måste du ha behörighet att tilldela och ta bort roller i Azure. Den Azure inbyggda rollen Owner innehåller den behörigheten. Du kan tilldela roller via Foundry-portalen (administratörssidan), Azure portal-IAM eller Azure CLI. Du kan ta bort roller med hjälp av Azure portal-IAM eller Azure CLI.
I Foundry-portalen hanterar du behörigheter genom att:
- Öppna sidan Admin i Foundry, och välj sedan Operera>Admin.
- Välj projektnamnet.
- Välj Lägg till användare för att hantera projektåtkomst. Den här åtgärden är endast tillgänglig om du har behörigheter för rolltilldelning.
- Använd samma flöde för Foundry-åtkomst på resursnivå.
Du kan hantera behörigheter i Azure-portalen under Access Control (IAM) eller med hjälp av Azure CLI.
Till exempel tilldelar följande kommando rollen Foundry User till joe@contoso.com för resursgruppen this-rg i prenumerationen 00000000-0000-0000-0000-000000000000:
az role assignment create --role "53ca6127-db72-4b80-b1b0-d745d6d5456d" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Observera
Eftersom Foundry RBAC-rollerna nyligen har bytt namn använder du rolldefinitions-ID (GUID) i stället för rollnamnet i koden för att undvika problem under distributionen av namnbytet:
-
Foundry-användare:
53ca6127-db72-4b80-b1b0-d745d6d5456d -
Ägare till Foundry:
c883944f-8b7b-4483-af10-35834be79c4a -
Foundry-kontoägare:
e47c6f54-e4a2-4754-9501-8e0985b135e1 -
Foundry Project Manager:
eadc314b-1a2d-4efa-be10-5d325db5065e
Skapa anpassade roller för projekt
Om de inbyggda rollerna inte uppfyller företagets krav skapar du en anpassad roll som ger exakt kontroll över tillåtna åtgärder och omfång. Här är ett exempel på en anpassad rolldefinition på prenumerationsnivå:
{
"properties": {
"roleName": "My Enterprise Foundry User",
"description": "Custom role for Foundry at my enterprise to only allow building Agents. Assign at subscription level.",
"assignableScopes": ["/subscriptions/<your-subscription-id>"],
"permissions": [ {
"actions": ["Microsoft.CognitiveServices/*/read", "Microsoft.Authorization/*/read", "Microsoft.CognitiveServices/accounts/listkeys/action","Microsoft.Resources/deployments/*"],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/accounts/AIServices/agents/*"],
"notDataActions": []
} ]
}
}
Mer information om hur du skapar en anpassad roll finns i följande artiklar.
- Azure Portal
- Azure CLI
- Azure PowerShell
- Disable preview-funktioner i Microsoft Foundry. Den här artikeln innehåller mer information om specifika behörigheter i Foundry i kontroll- och dataplanet som du kan använda när du skapar anpassade roller.
Anteckningar och begränsningar
Om du vill visa och rensa borttagna Foundry-konton måste du ha rollen Deltagare tilldelad i prenumerationsomfånget.
Användare med rollen Bidragsgivare kan distribuera modeller i Foundry.
Du behöver rollen Ägare på en resursomfång för att skapa anpassade roller inom resursen.
Om du har behörighet att tilldela rollen i Azure (till exempel rollen Ägare tilldelad i kontoomfånget) till användarens huvudnamn och du distribuerar en Foundry-resurs från Azure-portalen eller foundry-portalens användargränssnitt, tilldelas foundry-användarrollen automatiskt till användarens huvudnamn. Den här tilldelningen gäller inte när du distribuerar Foundry från SDK eller CLI.
Viktigt!
Foundrys RBAC-roller har nyligen namnändrats. Foundry User, Foundry Owner, Foundry Account Owner och Foundry Project Manager hette tidigare Azure AI-användare, Azure AI-ägare, Azure AI-kontoägare och Azure AI Project Manager. Du kanske fortfarande ser de tidigare namnen på vissa platser medan namnbytet distribueras. Roll-ID:na och kärnbehörigheterna ändras inte av namnbytet.
När du skapar en Foundry-resurs ger de inbyggda RBAC-behörigheterna (rollbaserad åtkomstkontroll) åtkomst till resursen. Om du vill använda resurser som skapats utanför Foundry kontrollerar du att resursen har behörigheter som gör att du kan komma åt den. Här följer några exempel:
- Om du vill använda ett nytt Azure Blob Storage konto lägger du till foundry-kontoresursens hanterade identitet i rollen Storage Blob Data Reader för lagringskontot.
- Om du vill använda en ny Azure AI-sökning källa lägger du till Foundry i Azure AI-sökning rolltilldelningar.
För att finjustera en modell i Foundry behöver du både behörigheter för dataplanet och kontrollplanet. Att distribuera en finjusterad modell är en behörighet i kontrollplanet. Därför är Foundry Owner den enda inbyggda rollen med både dataplans- och kontrollplansbehörigheter. Om du vill kan du även tilldela rollen Foundry-användare för dataplansbehörigheter och rollen Foundry-kontoägare för kontrollplansbehörigheter.
Relaterat innehåll
- Skapa ett projekt.
- Kontrollera åtkomst för en användare till en enda Azure resurs.
- Autentisering och auktorisering i Foundry.
- Disable preview-funktioner i Microsoft Foundry.
- Referens för värdbaserade agentbehörigheter.
Bilaga
Exempel på åtkomstisolering
Varje organisation kan ha olika krav på åtkomstisolering beroende på användarens personas i företaget. Åtkomstisolering refererar till vilka användare i företaget som får vilka rolltilldelningar för antingen en uppdelning av behörigheter med hjälp av våra inbyggda roller eller en enhetlig, mycket tillåtande roll. Det finns tre alternativ för åtkomstisolering för Foundry som du kan välja för din organisation beroende på dina krav på åtkomstisolering.
Ingen åtkomstisolering. Det innebär att du i företaget inte har några krav på att separera behörigheter mellan utvecklare, projektledare eller administratör. Behörigheterna för dessa roller kan tilldelas mellan team.
Därför bör du...
Ge alla användare i organisationen rollen som Foundry Owner på resursnivå
Viktigt!
Foundrys RBAC-roller har nyligen namnändrats. Foundry User, Foundry Owner, Foundry Account Owner och Foundry Project Manager hette tidigare Azure AI-användare, Azure AI-ägare, Azure AI-kontoägare och Azure AI Project Manager. Du kanske fortfarande ser de tidigare namnen på vissa platser medan namnbytet distribueras. Roll-ID:na och kärnbehörigheterna ändras inte av namnbytet.
Partiell åtkomstisolering. Det innebär att projektledaren i företaget ska kunna utveckla inom projekt och skapa projekt. Men dina administratörer bör inte kunna utveckla inom Foundry, utan bara skapa Foundry-projekt och -konton.
Därför bör du...
- Tilldela din administratör rollen Foundry Account Owner för resursomfånget
- Ge utvecklare och projektledare rollen Foundry Project Manager till resursen
Fullständig åtkomstisolering. Det innebär att dina administratörer, projektledare och utvecklare har tydliga behörigheter tilldelade som inte överlappar för deras olika funktioner i ett företag.
Därför bör du...
- Tilldela din administratör rollen Foundry Account Owner på resursomfångsnivå
- Ge din utvecklare rollen Läsare inom Foundry-resursomfånget och Foundry User inom projektomfånget
- Ge din projektledare rollen Foundry Project Manager på resursomfångsnivå
Använda Microsoft Entra grupper med Foundry
Microsoft Entra ID erbjuder flera sätt att hantera åtkomst till resurser, program och uppgifter. Genom att använda Microsoft Entra grupper kan du bevilja åtkomst och behörigheter till en grupp användare i stället för till varje enskild användare. It-administratörer för företag kan skapa Microsoft Entra grupper i Azure portalen för att förenkla rolltilldelningsprocessen för utvecklare. När du skapar en Microsoft Entra grupp kan du minimera antalet rolltilldelningar som krävs för nya utvecklare som arbetar med Foundry-projekt genom att tilldela gruppen den rolltilldelning som krävs för den nödvändiga resursen.
Utför följande steg för att använda Microsoft Entra ID grupper med Foundry:
- Skapa en grupp Security i Groups i Azure portalen.
- Lägg till en ägare och användarprincipaler i din organisation som behöver delad åtkomst.
- Öppna målresursen och gå till Åtkomstkontroll (IAM).
- Tilldela rollen som krävs till Användaren, gruppen eller tjänstens huvudnamn och välj den nya säkerhetsgruppen.
- Välj Granska + tilldela för att rolltilldelningen ska gälla alla medlemmar i gruppen.
Vanliga exempel:
- Om du vill skapa agenter, köra spårningar och använda grundläggande Foundry-funktioner tilldelar du Foundry User till gruppen Microsoft Entra.
- Om du vill använda spårnings- och övervakningsfunktioner tilldelar du Läsare för den anslutna Application Insights-resursen till samma grupp.
Mer information om Microsoft Entra ID grupper, krav och begränsningar finns i: