Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Note
En alternativ hubbfokuserad RBAC-artikel finns tillgänglig: Rollbaserad åtkomstkontroll för Azure AI Foundry (hubbar och projekt).
I den här artikeln får du lära dig hur du hanterar åtkomsten till dina Azure AI Foundry-resurser . Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera åtkomst till Azure-resurser, som att skapa nya resurser eller använda befintliga. I Microsoft Entra-ID tilldelar du användarroller som ger åtkomst till resurser. Azure tillhandahåller inbyggda roller och låter dig skapa anpassade roller.
Om den inbyggda Rollen Azure AI Developer inte uppfyller dina behov kan du skapa en anpassad roll.
Warning
Om vissa roller tillämpas kan användargränssnittsfunktionerna i Azure AI Foundry-portalen begränsas för andra användare. Om en användares roll till exempel inte har behörighet att skapa en beräkningsinstans är alternativet att skapa en inte tillgängligt i portalen. Det här beteendet förväntas och hindrar användaren från att starta åtgärder som returnerar ett felmeddelande om nekad åtkomst.
Azure AI Foundry-projektroller
I Azure AI Foundry-portalen finns det två åtkomstnivåer:
- Konto: Kontot är hem för infrastrukturen (inklusive konfiguration av virtuellt nätverk, kundhanterade nycklar, hanterade identiteter och principer) för din Azure AI Foundry-resurs. Azure AI Foundry-resursen har inbyggda roller som är tillgängliga som standard för både kontot och projektet. Här är en tabell med de inbyggda rollerna och deras behörigheter.
| Role | Description |
|---|---|
| Azure AI-användare | Ger läsare åtkomst till AI-projekt, läsåtkomst till AI-konton och dataåtgärder för ett AI-projekt. Om du kan tilldela roller tilldelas den här rollen automatiskt. I annat fall beviljar din prenumerationsägare eller en användare med rolltilldelningsbehörighet den. |
| Azure AI Project Manager | Gör att du kan utföra hanteringsåtgärder i Azure AI Foundry-projekt, skapa och utveckla med projekt och villkorligt tilldela Rollen Azure AI-användare till andra användarhuvudnamn. |
| Azure AI-kontoägare | Ger fullständig åtkomst för att hantera AI-projekt och konton, och gör att du villkorligt kan tilldela Rollen Azure AI-användare till andra användarhuvudnamn. |
Note
Om du vill visa och rensa borttagna AI Foundry-konton måste du ha rollen Deltagare tilldelad i prenumerationsomfånget.
De viktigaste skillnaderna mellan Azure AI Project Manager och Azure AI-kontoägare är förmågan att:
- Skapa nya Azure AI Foundry-kontoresurser. Det är bara Azure AI-kontoägaren som kan göra detta.
Den andra skillnaden visas i rolldefinitionerna: dataåtgärden
Microsoft.CognitiveServices/*. Med den här dataåtgärden kan användaren utföra alla åtgärder för att läsa, skriva eller ta bort data i ett projekt. Azure AI-projektledaren kan utföra den här åtgärden, men Azure AI-kontoägaren kan inte göra det. Endast Azure AI-användare och Azure AI Project Manager får dataåtgärder för ett AI-projekt. Tänk på Azure AI Project Manager som en upphöjd Azure AI-användare.
Utöver dessa inbyggda rolltilldelningar finns det Azure-privilegierade administratörsroller som Ägare, Deltagare och Läsare. De här rollerna är inte specifika för Azure AI Foundry-resursbehörigheter, så använd de tidigare beskrivna inbyggda rollerna för åtkomst med minst behörighet.
Använd följande tabell för att se behörigheterna för varje inbyggd roll, inklusive azure-privilegierade administratörsroller:
| Inbyggd roll | Skapa Foundry-projekt | Skapa Foundry-konton | Skapa och utveckla i ett projekt (dataåtgärder) | Slutför rolltilldelningar | Läsaråtkomst till projekt och konton | Hantera modeller |
|---|---|---|---|---|---|---|
| Azure AI-användare | ✔ | ✔ | ||||
| Azure AI Project Manager | ✔ | ✔ | ✔ (tilldela endast Azure AI-användarroll) | ✔ | ||
| Azure AI-kontoägare | ✔ | ✔ | ✔ (tilldela endast Azure AI-användarroll) | ✔ | ✔ | |
| Owner | ✔ | ✔ | ✔ (tilldela valfri roll till alla användare) | ✔ | ✔ | |
| Contributor | ✔ | ✔ | ✔ | ✔ | ||
| Reader | ✔ |
Standardroller för projektet
Azure AI-användare
Här är behörigheterna för Azure AI-användarrollen :
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/53ca6127-db72-4b80-b1b0-d745d6d5456d",
"properties": {
"roleName": "Azure AI User",
"description": "Grants reader access to AI projects, reader access to AI accounts, and data actions for an AI project.",
"assignableScopes": ["/"],
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": ["Microsoft.CognitiveServices/*"],
"notDataActions": []
}
]
}
}
Note
Om endast Azure AI-användarrollen har tilldelats till din användarhuvudman och inga andra inbyggda Azure-roller har tilldelats, bör du också tilldela rollen Läsare på Azure AI Foundry-resursen för att visa din Foundry-resurs i Azure AI Foundry-portalen. Detta gäller endast UX-upplevelsen för Foundry Portal.
Projektledare för Azure AI
Rollen Azure AI-kontoägare använder villkorlig Azure-rolltilldelningsdelegering. Med villkorsstyrd delegering kan rollen endast tilldela Rollen Azure AI-användare till användarens huvudnamn i resursgruppen. Med villkorsstyrd delegering kan administratören delegera rolltilldelningar så att team kan börja skapa AI Foundry-projekt. Mer information finns i Delegera hantering av Azure-rolltilldelning till andra med villkor.
Här är behörigheterna för Azure AI Project Manager-rollen :
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/eadc314b-1a2d-4efa-be10-5d325db5065e",
"properties": {
"roleName": "Azure AI Project Manager",
"description": "Lets you perform developer actions and management actions on Azure AI Foundry Projects. Allows for making role assignments, but limited to Cognitive Service User role.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/accounts/*/read",
"Microsoft.CognitiveServices/accounts/projects/*",
"Microsoft.CognitiveServices/locations/*/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Azure AI-kontoägare
Rollen som Azure AI-kontoägare använder delegationshantering av rolltilldelning i Azure till andra under vissa villkor. På grund av den villkorliga delegeringen kan rollen Azure AI Account Owner endast tilldela rollen Azure AI-användare till andra användarprincipaler i resursgruppen. Med villkorsstyrd delegering kan företagsadministratören delegera rolltilldelningar för att komma igång med att skapa och utveckla med AI Foundry-projekt. Mer information om rolltilldelningar med villkor finns i Delegera Hantering av Azure-rolltilldelning till andra med villkor.
Den fullständiga uppsättningen behörigheter för den nya rollen som Azure AI-kontoägare är:
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/e47c6f54-e4a2-4754-9501-8e0985b135e1",
"properties": {
"roleName": "Azure AI Account Owner",
"description": "Grants full access to manage AI projects and accounts. Grants conditional assignment of the Azure AI User role to other user principals.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{53ca6127-db72-4b80-b1b0-d745d6d5456d}))"
}
]
}
}
Exempel på RBAC-installation för företag för projekt
Den här tabellen visar ett exempel på rollbaserad åtkomstkontroll (RBAC) för en Azure AI Foundry-företagsresurs.
| Persona | Role | Purpose |
|---|---|---|
| IT-administratör | Prenumerationsägare | IT-administratören ser till att Azure AI Foundry-resursen uppfyller företagets standarder. Tilldela chefer rollen Azure AI-kontoägare på resursen så att de kan skapa nya Azure AI Foundry-konton. Tilldela chefer rollen Azure AI Project Manager på resursen så att de kan skapa projekt i ett konto. |
| Managers | Azure AI-kontoägare på Azure AI Foundry-resurs | Chefer hanterar Azure AI Foundry-resursen, distribuerar modeller, granskar beräkningsresurser, granskar anslutningar och skapar delade anslutningar. De kan inte skapa i projekt, men de kan tilldela Azure AI-användarrollen till sig själva och andra för att börja skapa. |
| Teamledare eller leadutvecklare | Azure AI Project Manager på Azure AI Foundry-resurs | Ledande utvecklare skapar projekt för sitt team och börjar skapa i dessa projekt. När du har skapat ett projekt bjuder projektägare in andra medlemmar och tilldelar rollen Azure AI-användare . |
| Teammedlemmar eller utvecklare | Azure AI-användare på Azure AI Foundry-resurs | Utvecklare skapar agenter i ett projekt. |
Important
Användare med rollen Deltagare kan distribuera modeller i Azure AI Foundry.
Få åtkomst till resurser som skapats utanför AI Foundry
När du skapar en AI Foundry-resurs ger inbyggda rbac-behörigheter (rollbaserad åtkomstkontroll) åtkomst till resursen. Om du vill använda resurser som skapats utanför AI Foundry kontrollerar du att båda följande är sanna:
- Resursen har behörigheter som gör att du kan komma åt den. Om du till exempel vill använda ett nytt Azure Blob Storage-konto lägger du till AI Foundry-kontoresursens hanterade identitet till rollen Storage Blob Data Reader för lagringskontot. Om du vill använda en ny Azure AI Search-källa lägger du till AI Foundry i rolltilldelningarna för Azure AI Search.
Hantera åtkomst med roller för projekt
Om du är ägare till en Azure AI Foundry-kontoresurs lägger du till eller tar bort roller. 1. På startsidan i Azure AI Foundry väljer du din Azure AI Foundry-resurs.
- Välj Användare för att lägga till eller ta bort användare för resursen. Hantera även behörigheter i Azure-portalen under Åtkomstkontroll (IAM) eller med hjälp av Azure CLI.
Följande kommando tilldelar till exempel Rollen Azure AI-användare för joe@contoso.com resursgruppen this-rg i prenumerationen med ID 00000000-0000-0000-0000-000000000000:
az role assignment create --role "Azure AI User" --assignee "joe@contoso.com" --scope /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/this-rg
Skapa anpassade roller för projekt
Om de inbyggda rollerna inte räcker skapar du en anpassad roll. Anpassade roller kan omfatta läs-, skriv-, borttagnings- och beräkningsbehörigheter för Azure AI Foundry-resurser. Gör rollen tillgänglig i projektet, resursgruppen eller prenumerationsomfånget.
Note
Du behöver rollen Ägare i det omfånget för att skapa anpassade roller i resursen.
Om du vill skapa en anpassad roll använder du någon av följande artiklar:
Mer information om anpassade roller finns i artikeln anpassade Roller i Azure .
Använda Microsoft Entra-grupper med Azure AI Foundry
Med Microsoft Entra-ID kan du hantera åtkomst till resurser, program och uppgifter på flera olika sätt. Med Microsoft Entra-grupper kan du bevilja åtkomst och behörigheter till en grupp användare i stället för till varje enskild användare. Microsoft Entra-grupper kan skapas i Azure-portalen för IT-administratörer för företag för att förenkla rolltilldelningsprocessen för utvecklare. När du skapar en Microsoft Entra-grupp kan du minimera antalet rolltilldelningar som krävs för nya utvecklare som arbetar med Foundry-projekt genom att tilldela gruppen den rolltilldelning som krävs för den nödvändiga resursen.
Utför följande steg för att använda Entra ID-grupper med Azure AI Foundry:
Gå till Grupper i Azure-portalen.
Skapa en ny säkerhetsgrupp i gruppportalen.
Tilldela ägaren till Microsoft Entra-gruppen och lägg till enskilda användarprinciper i din organisation till gruppen som Medlemmar. Spara gruppen.
Gå till resursen som kräver en rolltilldelning.
- Exempel: Om du vill skapa agenter, köra spårningar med mera i Foundry måste den lägsta behörigheten "Azure AI User"-rollen tilldelas till din användarprincip. Tilldela "Azure AI User"-rollen till din nya Microsoft Entra-grupp så att alla användare i företaget kan skapa på Foundry.
- Exempel: Om du vill använda spårnings- och övervakningsfunktioner i Azure AI Foundry krävs en rolltilldelning för läsare på den anslutna Application Insights-resursen. Tilldela rollen Läsare till din nya Microsoft Entra-grupp så att alla användare i företaget kan använda funktionen Spårning och övervakning.
Gå till Åtkomstkontroll (IAM).
Välj den roll som ska tilldelas.
Tilldela åtkomst till principen "Användare, grupp eller tjänst" och välj den nya säkerhetsgruppen.
Granska och tilldela. Rolltilldelning gäller nu för alla användarprinciper som tilldelats gruppen.
Mer information om Entra ID-grupper, krav och begränsningar finns i:
- Lär dig mer om grupper, gruppmedlemskap och åtkomst i Microsoft Entra.
- Hantera grupper i Microsoft Entra.