Freigeben über

Microsoft Foundry-Einführung innerhalb meiner Organisation

Mithilfe eines strukturierten Rolloutplans können Sie Sicherheitslücken, Kostenüberläufe und Zugriffslücken vermeiden, wenn sie Microsoft Foundry im Großen und Ganzen einführen. In diesem Leitfaden werden wichtige Entscheidungen für die Einführung von Foundry beschrieben, einschließlich Umgebungseinrichtung, Datenisolation, Integration in andere Azure-Dienste, Kapazitätsverwaltung und Überwachung. Verwenden Sie diesen Leitfaden als Ausgangspunkt, und passen Sie ihn an Ihre Bedürfnisse an. Details zur Implementierung finden Sie in den verknüpften Artikeln.

Voraussetzungen

Bevor Sie mit der Planung des Rollouts beginnen, vergewissern Sie sich, dass Sie folgendes haben:

  • Eine Zielstrategie für ein Azure-Abonnement und Ressourcengruppen in Entwicklungs-, Test- und Produktionsumgebungen.
  • Microsoft Entra ID Gruppen (oder gleichwertige Identitätsgruppen), die für Administratoren, Projektmanager und Projektbenutzer definiert sind.
  • Ein anfänglicher Regionsplan, der auf der Verfügbarkeit von Modell und Funktion basiert. Ausführliche Informationen finden Sie unter Featureverfügbarkeit in Cloudregionen.
  • Vereinbarung über Sicherheitsanforderungen für Netzwerke, Verschlüsselung und Datenisolation in Ihrer Organisation.

Checkliste für die Basisimplementierung

Verwenden Sie diese Checkliste vor dem ersten Produktionsrollout:

  1. Definieren Sie Umgebungsgrenzen über Entwicklungs-, Test- und Produktionsgrenzen hinweg.
  2. Weisen Sie die Zuständigkeit für jede Foundry-Ressource und den Projektumfang zu.
  3. Ermitteln Sie die zu verwendenden Foundry-Features. Nicht alle Feature-APIs sind im Projektkontext verfügbar. Wenn Sie beabsichtigen, Berechtigungen im niedrigsten Projektbereich für die Isolation von Anwendungsfällen zuzuweisen, wird dies für klassische Azure AI-APIs wie Translator möglicherweise nicht unterstützt. Diese erfordern, dass jeder Benutzer über Berechtigungen auf der Foundry-Ressourcenebene verfügt. Für diese Fälle wird die Trennung nach Foundry-Ressourcen empfohlen.
  4. Definieren Sie RBAC-Zuweisungen für Administratoren, Projektmanager und Projektbenutzer.
  5. Definieren Sie den Netzwerkansatz für jede Umgebung (öffentlicher Zugriff, privater Endpunkt oder Hybrid).
  6. Entscheiden Sie, ob vom Kunden verwaltete Schlüssel für die Richtlinie erforderlich sind.
  7. Definieren Sie Kosten und Überwachung der Zuständigkeiten für jede Geschäftsgruppe.
  8. Identifizieren Sie erforderliche gemeinsame Verbindungen und Verbindungen im Bereich des Projekts.

Beispielorganisation

Contoso ist ein globales Unternehmen, das die GenAI-Einführung in fünf Unternehmensgruppen untersucht, die jeweils unterschiedliche Anforderungen und technische Reife aufweisen.

Um die Adaption zu beschleunigen und gleichzeitig den Überblick zu behalten, zielt Contoso Enterprise IT darauf ab, ein Modell mit gemeinsam genutzten Ressourcen, einschließlich Netzwerken und zentraler Datenverwaltung, zu ermöglichen und gleichzeitig jedem Team innerhalb einer kontrollierten, sicheren Umgebung den Selbstbedienungszugriff auf Foundry zu ermöglichen, um ihre Anwendungsfälle zu verwalten.

Überlegungen zum Rollout

Die Foundry-Ressource definiert den Bereich zum Konfigurieren, Sichern und Überwachen der Umgebung Ihres Teams. Sie ist im Foundry-Portal und über Azure APIs verfügbar. Projekte sind wie Ordner, um Ihre Arbeit innerhalb dieses Ressourcenkontexts zu organisieren. Projekte steuern auch den Zugriff und die Berechtigungen für Foundry-Entwickler-APIs und -Tools.

Von Bedeutung

Projekte bieten eine vorkonfigurierte Sandkastenumgebung, die für die Agenterstellung und die nativen Funktionen von Foundry optimiert ist. Da Foundry jedoch auf einer Reihe von klassischen Azure KI Services basiert, ist nicht jede klassische API im Projektkontext verfügbar. Identifizieren Sie die Features, die Ihre Teams verwenden möchten, und überprüfen Sie, ob sie den Zugriff auf Projektebene unterstützen. Für Dienste wie Übersetzer, die Berechtigungen auf der übergeordneten Foundry-Ressourcenebene erfordern, sollten Sie separate Foundry-Ressourcen zur Kostenisolation und Zugriffssteuerung verwenden.

Screenshot eines Diagramms, das die Foundry-Ressource zeigt.

Um Konsistenz, Skalierbarkeit und Governance in allen Teams sicherzustellen, sollten Sie beim Rollout von Foundry die folgenden Umgebungseinrichtungspraktiken berücksichtigen:

  • Richten Sie unterschiedliche Umgebungen für Entwicklung, Tests und Produktion ein. Verwenden Sie separate Ressourcengruppen oder Abonnements sowie Foundry-Ressourcen, um Workflows zu isolieren, access zu verwalten und das Experimentieren mit kontrollierten Versionen zu unterstützen.

  • Erstellen Sie eine separate Foundry-Ressource für jede Unternehmensgruppe. Richten Sie Bereitstellungen an logischen Grenzen wie Datendomänen oder Geschäftsfunktionen aus, um Autonomie, Governance und Kostennachverfolgung sicherzustellen. Ziehen Sie auch separate Foundry-Ressourcen in Betracht, wenn Teams klassische Azure KI-APIs benötigen, die den projektbezogenen Zugriff nicht unterstützen.

  • Zuordnen von Projekten zu Anwendungsfällen Gießereiprojekte stellen bestimmte Anwendungsfälle dar und stellen Container bereit, um Komponenten wie Agents oder Dateien für eine Anwendung zu organisieren. Während sie Sicherheitseinstellungen von ihrer übergeordneten Ressource erben, können sie auch eigene Zugriffssteuerungen, Datenintegrationen und andere Governance-Steuerelemente implementieren. Überprüfen Sie vor dem Zuweisen von Berechtigungen auf Projektebene, ob die APIs, die Ihr Team plant zu verwenden, den projektbezogenen Zugriff unterstützen.

Sichern der Foundry-Umgebung

Foundry basiert auf der Azure-Plattform, sodass Sie Sicherheitskontrollen an die Anforderungen Ihrer Organisation anpassen können.

Identität

Verwenden Sie Microsoft Entra ID, um den Benutzer- und Dienstzugriff zu verwalten. Foundry unterstützt verwaltete Identitäten, um sichere, kennwortlose Authentifizierung für andere Azure Dienste zu ermöglichen. Sie können verwaltete Identitäten auf der Foundry-Ressourcenebene und optional auf der Projektebene für eine detailliertere Steuerung zuweisen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffskontrolle in Foundry.

Vernetzung

Stellen Sie Foundry in einem virtuellen Netzwerk bereit, um den Datenverkehr zu isolieren und den Zugriff mithilfe von Netzwerksicherheitsgruppen (Network Security Groups, NSGs) zu kontrollieren. Verwenden Sie für Private Konnektivitätsszenarien private Endpunkte, und überprüfen Sie den DNS- und Endpunktgenehmigungsstatus. Details und Einschränkungen der Implementierung finden Sie unter How to configure a private link for Foundry.

Von Bedeutung

Einige Features, z. B. Agents und Auswertungen, erfordern eine zusätzliche Netzwerkkonfiguration für die End-to-End-Isolation. Details zur Implementierung und aktuelle Einschränkungen finden Sie unter Konfigurieren der Netzwerkisolation für Foundry.

Vom Kunden verwaltete Schlüssel

Azure unterstützt vom Kunden verwaltete Schlüssel (CMK) zum Verschlüsseln ruhender Daten. Foundry unterstützt CMK optional für Kunden mit strengen Complianceanforderungen. Weitere Informationen finden Sie unter "Vom Kunden verwaltete Schlüssel" in Foundry.

Authentifizierung und Autorisierung

Foundry unterstützt sowohl API-schlüsselbasierten Zugriff für einfache Integration und Azure RBAC für feinkörnige Steuerung. API-Schlüssel können die Einrichtung vereinfachen, bieten aber nicht die gleiche rollenbasierte Granularität wie Microsoft Entra ID mit RBAC. Azure erzwingt eine klare Trennung zwischen der Control-Ebene (Ressourcenverwaltungsvorgänge wie erstellen oder konfigurieren von Ressourcen) und der Datenebene (Laufzeitvorgänge wie Aufrufen von Modellen und Zugreifen auf Daten). Beginnen Sie mit integrierten Rollen, und definieren Sie bei Bedarf benutzerdefinierte Rollen. Weitere Informationen finden Sie unter Rollenbasierte Zugriffskontrolle in Foundry.

Vorlagen

Verwenden Sie ARM-Vorlagen oder Bicep, um sichere Bereitstellungen zu automatisieren. Erkunden Sie die Beispielinfrastrukturvorlagen.

Lagerung

Sie können die integrierten Speicherfunktionen in Foundry verwenden oder Ihre eigenen Speicherressourcen verwenden. Für den Agentdienst können Threads und Nachrichten optional in ressourcen gespeichert werden, die von Ihnen verwaltet werden.

Beispiel: Sicherheitsansatz von Contoso

Contoso sichert seine Foundry-Bereitstellungen, indem es private Netzwerke mit Unternehmens IT zur Verwaltung eines zentralen Hubnetzwerks verwendet. Jede Unternehmensgruppe stellt eine Verbindung über ein virtuelles Spoke-Netzwerk her. Sie verwenden integrierte rollenbasierte Zugriffssteuerung (RBAC), um den Zugriff zu trennen:

  • Administratoren verwalten Bereitstellungen , Verbindungen und freigegebene Ressourcen
  • Project Manager bestimmte Projekte überwachen
  • Benutzer interagieren mit GenAI-Tools

In den meisten Anwendungsfällen setzt Contoso standardmäßig auf von Microsoft verwalteter Verschlüsselung und verwendet keine benutzerverwalteten Schlüssel.

Benutzerzugriff planen

Effektives access Management ist grundlage für ein sicheres und skalierbares Foundry-Setup.

Definieren von Zugriffsrollen und Zuständigkeiten

Identifizieren Sie, welche Benutzergruppen Zugriff auf verschiedene Aspekte der Foundry-Umgebung benötigen. Zuweisen von integrierten oder benutzerdefinierten Azure RBAC-Rollen auf der Grundlage von Zuständigkeiten wie:

  • Kontobesitzer: Verwalten von Konfigurationen auf oberster Ebene, wie z. B. Sicherheits- und Verbindungen zu freigegebenen Ressourcen.
  • Project Manager: Erstellen und Verwalten von Foundry-Projekten und deren Mitwirkenden.
  • Projektbenutzer: Wirken Sie an vorhandenen Projekten mit.

Nutzen Sie diese beispielhafte Rollen-zu-Aufgabenbereich-Zuordnung für die Rollout-Planung:

Persona Einstiegsrolle Empfohlener Umfang
Administratoren Besitzer oder Azure KI-Kontoinhaber Abonnement- oder Gießereiressource
Projektmanager Azure AI-Projektmanager Foundry-Ressource
Projektbenutzer Azure KI-Benutzer Projekt einer Gießerei

Passen Sie Zuordnungen basierend auf den Anforderungen des Minimalprinzips und den Unternehmensrichtlinien an.

Bestimmen des Zugriffsbereichs

Wählen Sie den geeigneten Bereich für Zugriffszuweisungen aus:

  • Abonnementebene: Breiter Zugriff, in der Regel geeignet für zentrale IT- oder Plattformteams oder kleinere Organisationen.
  • Ressourcengruppenebene: Nützlich zum Gruppieren verwandter Ressourcen mit freigegebenen Zugriffsrichtlinien. Beispielsweise eine Azure Function, die demselben Anwendungslebenszyklus folgt wie Ihre Foundry-Umgebung.
  • Ressourcen- oder Projektebene: Ideal für feinkörnige Steuerung, insbesondere beim Umgang mit vertraulichen Daten oder beim Aktivieren von Self-Service.

Identitätsstrategie ausrichten

Ermitteln Sie bei Datenquellen und Tools, die in Foundry integriert sind, ob Benutzer sich mit folgenden Methoden authentifizieren sollen:

  • Verwaltete Identitäten oder API-Schlüssel: Geeignet für automatisierte Dienste und gemeinsam genutzten Zugriff über Benutzer hinweg.
  • Benutzeridentitäten: Bevorzugt, wenn rechenschaftspflichtige Oder Auditierbarkeit auf Benutzerebene erforderlich ist.

Verwenden Sie Microsoft Entra ID Gruppen, um die Zugriffsverwaltung zu vereinfachen und die Konsistenz in allen Umgebungen sicherzustellen.

Für das Onboarding mit geringsten Rechten beginnen Sie mit der Azure AI User Rolle für Entwickler und projektverwaltete Identitäten und fügen nur bei Bedarf zusätzliche Rollen mit erhöhten Berechtigungen hinzu. Weitere Informationen finden Sie unter Rollenbasierte Zugriffskontrolle in Foundry.

Herstellen einer Verbindung mit anderen Azure-Diensten

Foundry unterstützt connections, die wiederverwendbare Konfigurationen sind, die den Zugriff auf Anwendungskomponenten für Azure- und nicht Azure-Dienste ermöglichen. Diese Verbindungen fungieren auch als Identity Broker, sodass Foundry sich bei externen Systemen authentifizieren kann, indem verwaltete Identitäten oder Dienstprinzipale im Auftrag von Projekt-Benutzern verwendet werden.

Erstellen Sie Verbindungen auf Foundry-Ressourcenebene für gemeinsame Dienste wie Azure Storage oder Key Vault. Legt Verbindungen zu einem bestimmten Projekt für sensible oder projektspezifische Integrationen fest. Diese Flexibilität ermöglicht Es Teams, die Wiederverwendung und Isolation basierend auf ihren Anforderungen zu ausgleichen. Erfahren Sie mehr über Verbindungen in Foundry.

Konfigurieren Sie die Authentifizierung der Verbindung, um entweder freigegebene Zugriffstoken zu verwenden, wie Microsoft Entra ID verwaltete Identitäten oder API-Schlüssel, die eine vereinfachte Verwaltung und ein einfacheres Onboarding ermöglichen, oder Benutzertoken über Entra ID Passthrough, welche mehr Kontrolle beim Zugriff auf sensible Datenquellen bieten.

Screenshot eines Diagramms, das die Konnektivität und Integration von Foundry-Projekten mit anderen Azure-Diensten zeigt.

Beispiel: Die Konnektivitätsstrategie von Contoso

  • Contoso erstellt eine Foundry-Ressource für jede Unternehmensgruppe und stellt sicher, dass Projekte mit ähnlichen Datenanforderungen dieselben verbundenen Ressourcen gemeinsam nutzen.
  • Standardmäßig nutzen angeschlossene Ressourcen gemeinsame Authentifizierungstoken und werden für alle Projekte gemeinsam genutzt.
  • Projekte, die mit vertraulichen Datenworkloads arbeiten, verwenden projektbezogene Verbindungen, um eine Verbindung mit Datenquellen herzustellen und die Microsoft Entra ID Passthroughauthentifizierung zu nutzen.

Verwaltung

Effektive Governance in Foundry gewährleistet sichere, kompatible und kosteneffiziente Vorgänge in Geschäftsgruppen.

  • Model Access Control mit Azure Policy Azure Policy erzwingt Regeln über Azure Ressourcen hinweg. Verwenden Sie in Foundry Richtlinien, um einzuschränken, auf welche Modelle oder Modellfamilien bestimmte Unternehmensgruppen zugreifen können. Beispiel: Die Gruppe Finance & Risk von Contoso darf keine Vorschau oder nicht-konforme Modelle verwenden, indem sie eine Richtlinie auf der Ebene des Abonnements ihrer Unternehmensgruppe anwendet.
  • Kostenmanagement nach Unternehmensgruppe Durch die Bereitstellung von Foundry pro Unternehmensgruppe kann Contoso Kosten unabhängig verfolgen und verwalten. Verwenden Sie den Azure Preisrechner für Vorbereitstellungsschätzungen und Microsoft Cost Management für die laufende tatsächliche Nutzung und Trendnachverfolgung. Behandeln Sie die Foundry-Kosten als einen Teil der Gesamtlösungskosten.
  • Nachverfolgung mit Azure Monitor Azure Monitor stellt Metriken und Dashboards bereit, um Nutzungsmuster, Leistung und Integrität von Foundry-Ressourcen nachzuverfolgen.
  • Verbose Logging mit Azure Log Analytics Azure Log Analytics ermöglicht eine umfassende Überprüfung von Protokollen für betriebstechnische Erkenntnisse. Beispiel: Protokollanforderungsverwendung, Tokenverwendung und Latenz zur Unterstützung der Überwachung und Optimierung.

Überprüfen von Rolloutentscheidungen

Nachdem Sie Ihren Rolloutplan definiert haben, überprüfen Sie die folgenden Ergebnisse:

  • Identität und Zugriff: Rollenzuweisungen werden genehmigten Personas und Zuständigkeitsbereichen zugeordnet.
  • Netzwerk: Der Verbindungspfad und das Isolationsmodell werden für jede Umgebung dokumentiert.
  • Netzwerküberprüfung: Der Status der privaten Endpunktverbindung ist Approved, und DNS löst Foundry-Endpunkte aus dem virtuellen Netzwerk in private IP-Adressen auf.
  • Datenschutz: Der Verschlüsselungsansatz (Microsoft verwaltete Schlüssel oder vom Kunden verwaltete Schlüssel) wird dokumentiert und genehmigt.
  • Vorgänge: Kosten- und Überwachungsverantwortliche werden pro Unternehmensgruppe zugewiesen.
  • Betriebsüberprüfung: Kostenansichten und Dashboards werden in Microsoft Cost Management definiert und die Überwachung ist mit Application Insights für jedes Produktionsprojekt verbunden.
  • Modellvorgänge: Die Bereitstellungsstrategie (standardmäßig oder vorgegeben) wird pro Anwendungsfall dokumentiert.
  • Regionsbereitschaft: Erforderliche Modelle und Dienste werden vor dem Rollout in Zielregionen bestätigt.

Konfigurieren und Optimieren von Modellbereitstellungen

Bei der Bereitstellung von Modellen in Foundry können Teams zwischen Standard- und bereitgestellten Bereitstellungstypen wählen. Standardbereitstellungen eignen sich ideal für Entwicklung und Tests, da sie Flexibilität und eine einfache Einrichtung bieten. Bereitgestellte Implementierungen werden für Produktionsszenarien empfohlen, in denen vorhersehbare Leistung, Kostenkontrolle und Modellversionsbindung erforderlich sind.

Um regionsübergreifende Szenarien zu unterstützen und Ihnen den Zugriff auf vorhandene Modellbereitstellungen zu ermöglichen, ermöglicht Foundry connections, Bereitstellungen zu modellieren, die in anderen Foundry- oder Azure OpenAI-Instanzen gehostet werden. Mithilfe von Verbindungen können Teams Bereitstellungen für Experimente zentralisieren, während sie gleichzeitig den Zugriff aus verteilten Projekten aktivieren. Für Produktionsworkloads sollten Sie erwägen, dass Anwendungsfälle ihre eigenen Bereitstellungen verwalten, um den Modelllebenszyklus, die Versionsverwaltung und Rollback-Strategien besser kontrollieren zu können.

Um eine übermäßige Nutzung zu verhindern und eine faire Ressourcenzuordnung sicherzustellen, können Sie Token pro Minute (TPM) auf Bereitstellungsebene anwenden. TPM-Grenzwerte helfen, den Verbrauch zu steuern, vor versehentlichen Spitzen zu schützen und die Nutzung an Projektbudgets oder Kontingenten auszurichten. Erwägen Sie das Festlegen konservativer Grenzwerte für gemeinsame Bereitstellungen und höhere Schwellenwerte für kritische Produktionsdienste.

Erfahren Sie mehr

Nächster Schritt

Erstellen eines Projekts in Gießerei

  • Last updated on