Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beim Arbeiten mit gehosteten Agents in Microsoft Foundry ist es wichtig, die verschiedenen berechtigungen zu verstehen. Es gibt mehrere Klassen von Berechtigungen für die Entwicklung gehosteter Agents, die die Azure Resource Manager-Kontrollebene und die Gießereidatenebene umfassen:
- Berechtigungen, die Benutzern oder Prinzipale gewährt werden, die mit Foundry-Ressourcen arbeiten
- Berechtigungen, die dem Foundry-Projekt erteilt wurden
- Berechtigungen, die dem Agent gewährt werden
Dieser Artikel ist ein Begleitartikel zur rollenbasierten Zugriffssteuerung für Microsoft Foundry, der rollenbasierte Zugriffssteuerungskonzepte (RBAC) und die in Microsoft Foundry verfügbaren integrierten Rollen einführt. Bevor Sie fortfahren, sollten Sie sich mit diesem Artikel vertraut machen. In diesem Artikel werden die Vorgänge behandelt, die an der Entwicklung und Bereitstellung gehosteter Agent beteiligt sind, die berechtigungen, die zum Ausführen dieser Vorgänge erforderlich sind und welche integrierten Rollen diese Berechtigungen abdecken.
Informationen zu End-to-End-Bereitstellungs- und Lebenszyklusaufgaben finden Sie unter Bereitstellen eines gehosteten Agents und Verwalten des Lebenszyklus des gehosteten Agents. Informationen zum identitätsspezifischen Verhalten finden Sie unter Agent-Identität.
Important
Beachten Sie beim Zuweisen von Berechtigungen immer das Prinzip der geringsten Rechte. Erteilen Sie nur den Berechtigungen, die für Benutzer und Agents erforderlich sind, um ihre Aufgaben auszuführen, und überprüfen und aktualisieren Sie die Berechtigungen bei Bedarf regelmäßig.
Rollen in diesem Artikel
Azure AI Foundry-Berechtigungen umfassen zwei Ebenen: die Azure Resource Manager (ARM)-Steuerungsebene und die Foundry-Datenebene. Besitzer - und Mitwirkenderrollen verfügen über umfassende Berechtigungen für die ARM-Steuerungsebene, enthalten jedoch keine Berechtigungen für die Datenebene. Vorgänge auf der Datenebene – z. B. das Erstellen von Agents oder die Interaktion mit ihnen – erfordern bestimmte Azure AI Foundry-Rollen wie Azure AI-Benutzer, Azure AI-Projektmanager oder Azure AI-Besitzer.
In diesem Artikel werden auf die folgenden integrierten Rollen verwiesen. Informationen zu benutzerdefinierten Rollendefinitionen finden Sie unter Azure custom roles.
| Role | Zweck bei der Bereitstellung des gehosteten Agents |
|---|---|
| Owner | Vollständige Berechtigungen zum Erstellen und Verwalten von Azure-Ressourcen |
| Contributor | Erstellen und Verwalten von Azure-Ressourcen |
| Administrator für rollenbasierte Zugriffskontrolle | Erstellen von Rollenzuweisungen für Azure-Ressourcen |
| Azure AI-Benutzer | Erstellen von Agents, Durchführen von Modellleitungen und Interagieren mit Agents |
| Azure AI-Projektmanager | Verwalten von Projekten, Erstellen von Agents, Durchführen von Modellleitungen, Interagieren mit Agents und Erstellen von Rollenzuweisungen |
| Azure AI-Kontobesitzer | Erstellen Sie Bereitstellungen, verwalten Sie Projekte, und behandeln Sie Ressourcen auf Kontoebene. Erstellen Sie Rollenzuweisungen nur für Steuerungsebenenvorgänge. Datenebenenvorgänge wie das Erstellen oder Interagieren mit Agents können nicht ausgeführt werden. |
| Azure AI-Besitzer | Berechtigung "Vollzugriffsebene" und "Datenebene" über Kontoressourcen, kann jedoch keine Rollenzuweisungen erstellen. |
| Leser des Container Registry-Repositorys | Abrufen von Containerimages aus der Registrierung |
| Schreiber des Container Registry-Repository | Pushcontainerimages an die Registrierung |
| AcrPull | Abrufen von Containerimages aus der Registrierung |
| AcrPush | Pushcontainerimages an die Registrierung |
| Log Analytics Data Reader | Lesen von Telemetriedaten für Auswertungen |
| Cognitive Services OpenAI-Benutzer | Zugreifen auf OpenAI-Endpunkte auf Kontoebene direkt |
| Cognitive Services-Benutzer | Zugriff auf Funktionen auf Kontoebene (Spracherkennung, Vision, Sprache) direkt |
Vorsicht
Obwohl es möglicherweise eine geeignete Rolle für einen Entwickler ist, der mit gehosteten Agents arbeitet, reicht die integrierte Azure AI-Entwicklerrolle für gehostete Agent-Szenarien nicht aus. Diese Rolle ist auf Azure Machine Learning- und Foundry-Hubs ausgerichtet, nicht auf die von gehosteten Agents verwendeten Foundry-Projektressourcen, und sie enthält nicht die Ressourcenverwaltungsberechtigungen, die für die Bereitstellung gehosteter Agents erforderlich sind.
Schnelle Diagnose durch Symptom
Verwenden Sie diese Links, um direkt zu Abschnitten zu springen, die allgemeine Berechtigungsprobleme beheben:
- Agent kann nicht erstellt werden: Anzeigen der Agenterstellung
- Agent kann nicht auf Modelle zugreifen: Anzeigen der Agent-Erstellung und optionaler Kontozugriff
- Bereitstellung schlägt fehl: Siehe Bereitstellung des gehosteten Agents und Einrichten der Azure-Containerregistrierung
- Agent kann zur Laufzeit keine Images abrufen: Siehe Einrichten der Azure-Containerregistrierung
- Agentinteraktion schlägt fehl: Anzeigen der Agent-Interaktion
- Fehler bei der Rollenzuweisung: Siehe Erstellen dieser Rollenzuweisung erfordert Abschnitte und Das Setup von Connections
- Agent kann nicht in Teams oder M365 Copilot veröffentlicht werden: Siehe Azure Bot Service-Setup
Architektur der gehosteten Agent-Lösung
Eine abgeschlossene Einrichtung eines gehosteten Agents umfasst mehrere Azure-Ressourcen, Identitätszuweisungen und Verbindungen, die zusammenarbeiten. Das folgende Diagramm zeigt die wichtigsten Komponenten und deren Beziehungen:
Foundry Account
├── Model Deployment
└── Foundry Project (has managed identity)
├── Hosted Agent
│ └── Agent Version → references container image
├── Connection to Azure Container Registry
└── Connection to Application Insights
Separate Azure Resources:
├── Azure Container Registry → contains container image
├── Application Insights → logs to Log Analytics Workspace
└── Log Analytics Workspace
Role assignments:
• Foundry Project → Azure AI User role on Foundry Account
• Hosted Agent → Azure AI User role on Foundry Project
• Foundry Project → Container Registry Repository Reader role on Azure Container Registry
• Foundry Project → Log Analytics Data Reader role on Log Analytics Workspace
Optional (Teams / M365 Copilot publishing):
└── Azure Bot Service → connected to agent application (Channels auth mode)
Das obige Diagramm zeigt, wie Ressourcen hierarchisch organisiert werden und welche Rollenzuweisungen die Kommunikation zwischen ihnen ermöglichen. Die folgenden Abschnitte enthalten detaillierte Konfigurationsanforderungen für jede Komponente.
Erforderliche Azure-Ressourcen
Für jede bereitstellung gehosteter Agent müssen diese Azure-Ressourcen ordnungsgemäß konfiguriert werden:
-
Ein Foundry-Konto
- Mit einer Rollenzuweisung kann die vom Projekt verwaltete Identität auf das Konto für den Modellzugriff zugreifen.
Azure AI Userist die empfohlene integrierte Rolle.
- Mit einer Rollenzuweisung kann die vom Projekt verwaltete Identität auf das Konto für den Modellzugriff zugreifen.
- Eine Modellbereitstellung (im Konto)
-
Ein Foundry-Projekt (im Konto)
- Das Projekt verfügt über eine verwaltete Identität. Das Projekt erhält auch eine Agent-Blueprint- und Agent-Identität, wenn der erste Agent erstellt wird.
- Eine Rollenzuweisung ermöglicht es der Agentidentität des gehosteten Agents, auf das Projekt für den Modellzugriff zuzugreifen.
Azure AI Userist die empfohlene integrierte Rolle. - Rollenzuweisungen ermöglichen Es Clientbenutzern oder Prinzipale, zur Laufzeit mit Agents im Projekt zu interagieren.
Azure AI Userist die empfohlene integrierte Rolle.
-
Ein gehosteter Agent (im Projekt)
- Der Agent ruft automatisch einen Agent-Blueprint und eine Agentidentität ab.
- Eine Agentversion (im gehosteten Agentobjekt)
-
Eine Azure-Containerregistrierung (ACR)
- Mit einer Rollenzuweisung kann die verwaltete Identität des Projekts Bilder aus der Registrierung abrufen. Containerregistrierungs-Repositoryleser ist die empfohlene integrierte Rolle.
- Eine Rollenzuweisung ermöglicht einem Benutzer oder Dienstprinzipal, der den Agent zum Übertragen von Images in die Registrierung bereitstellt. Container Registry Repository Writer ist die empfohlene integrierte Rolle.
- Eine Application Insights-Komponente
-
Ein Log Analytics-Arbeitsbereich (verknüpft mit der Application Insights-Komponente)
- Eine Rollenzuweisung ermöglicht es der verwalteten Identität des Projekts, Telemetrie für Auswertungen zu lesen. Log Analytics Data Reader ist die empfohlene integrierte Rolle.
-
Mehrere Verbindungsressourcen (im Projekt):
- Für die Azure-Containerregistrierung wird eine Verbindung erstellt, die das Projekt für das Abrufen von Bildern verwendet.
- Für Application Insights wird eine Verbindung erstellt, mit der das Projekt Telemetriedaten für seine Agents ausgibt. Diese Verbindung verwendet standardmäßig keine Identität.
Einige Benutzer oder Prinzipale benötigen die Berechtigung zum Erstellen und Verwalten dieser Ressourcen. In diesem Artikel wird eine Konfiguration vorausgesetzt, bei der sich die Azure-Ressourcen alle innerhalb derselben Ressourcengruppe befinden, und zeigt an, dass Schreibzugriff auf diese Ressourcengruppe gewährt wird. Dieser Ressourcengruppenansatz ist eine häufige Konfiguration für viele Teams, ihre spezifische Einrichtung kann jedoch variieren. Wenn Sie über eine andere Ressourcenorganisationsstrategie verfügen, müssen Sie möglicherweise Berechtigungen für die von Ihnen verwendeten Ressourcengruppen aufteilen.
Diese Liste enthält keine Netzwerkressourcen. Der Benutzer oder Dienstprinzipal, der die Azure-Ressourcen bereitstellt, benötigt jedoch möglicherweise auch die Berechtigung zum Erstellen und Verwalten virtueller Netzwerke, Subnetze und privater Endpunkte, um die Ressourcen zu sichern.
Agentanwendungen
Wenn Sie Agent-Anwendungen verwenden, enthält die Liste auch Folgendes:
-
Eine Agentanwendung (im Projekt)
- Die Agentanwendung ruft automatisch einen Agent-Blueprint und eine Agentidentität ab. Wiederholen Sie alle Rollenzuweisungen für die Agentidentität des gehosteten Agents mit der Agent-Identität der Agent-Anwendung.
- Eine Agentbereitstellung (in der Agentanwendung)
Azure-Ressourcensetup
Setup des Foundry-Kontos
Zum Erstellen eines Foundry-Kontos ist die Microsoft.CognitiveServices/accounts/write Berechtigung im Bereich der Ressourcengruppe erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene ein Foundry-Konto erstellen? |
|---|---|---|
| Owner | Ressourcengruppe | ✔ Ja |
| Mitwirkender | Ressourcengruppe | ✔ Ja |
| Azure AI-Benutzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Projektmanager | Ressourcengruppe | ✗ Nein |
| Azure AI-Kontobesitzer | Ressourcengruppe | ✔ Ja |
| Azure AI-Besitzer | Ressourcengruppe | ✔ Ja |
Die verwaltete Identität des Projekts benötigt Zugriff auf das Foundry-Konto, um Modelleinschluss über den Projektendpunkt durchzuführen. Der Zugriff des Projekts wird durch die Azure AI User Rolle im Bereich des Foundry-Kontos abgedeckt. Diese Rollenzuweisung kann automatisch erstellt werden, wenn das Projekt erstellt wird, abhängig von den Berechtigungen des Benutzers oder des Dienstprinzipals, der das Projekt erstellt.
Möglicherweise sind weitere Rollenzuweisungen erforderlich, wenn Ihr Agentcode direkt auf den OpenAI-Endpunkt auf Kontoebene zugreift oder andere Funktionen auf Kontoebene, die nicht vom Projektendpunkt bereitgestellt werden. Weitere Informationen finden Sie unter Optionaler Kontozugriff.
Modellimplementierung
Zum Erstellen einer Modellbereitstellung ist die Microsoft.CognitiveServices/accounts/deployments/write Berechtigung im Bereich des Foundry-Kontos erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisende ein Modell in einem Foundry-Konto bereitstellen? |
|---|---|---|
| Owner | Gießerei-Konto | ✔ Ja |
| Mitwirkender | Gießerei-Konto | ✔ Ja |
| Azure AI-Benutzer | Gießerei-Konto | ✗ Nein |
| Azure AI-Projektmanager | Gießerei-Konto | ✗ Nein |
| Azure AI-Kontobesitzer | Gießerei-Konto | ✔ Ja |
| Azure AI-Besitzer | Gießerei-Konto | ✔ Ja |
Projektkonfiguration
Das Erstellen eines Foundry-Projekts erfordert die Microsoft.CognitiveServices/accounts/projects/write Berechtigung im Bereich des Foundry-Kontos.
| Eingebaute Rolle | Scope | Kann der Zuweisene ein Foundry-Projekt erstellen? |
|---|---|---|
| Owner | Gießerei-Konto | ✔ Ja |
| Mitwirkender | Gießerei-Konto | ✔ Ja |
| Azure AI-Benutzer | Gießerei-Konto | ✗ Nein |
| Azure AI-Projektmanager | Gießerei-Konto | ✔ Ja |
| Azure AI-Kontobesitzer | Gießerei-Konto | ✔ Ja |
| Azure AI-Besitzer | Gießerei-Konto | ✔ Ja |
Wenn der Ersteller des Projekts die Möglichkeit hat, die Azure AI User Rolle im Bereich des Kontos zuzuweisen, erstellt das System automatisch zwei Rollenzuweisungen:
- Dem Projektersteller wird die Azure AI-Benutzerrolle im Bereich des Foundry-Kontos gewährt.
- Die verwaltete Identität des Projekts wird der Azure AI-Benutzerrolle im Bereich des Foundry-Kontos gewährt.
Eine ähnliche Rollenzuweisung ist für die Agentidentität über das Projekt erforderlich. Weitere Informationen finden Sie im Abschnitt " Agent Creation ".
Einrichten der Azure-Containerregistrierung
Zum Erstellen einer Azure-Containerregistrierung ist die Microsoft.ContainerRegistry/registries/write Berechtigung im Bereich der Ressourcengruppe erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Containerregistrierung erstellen? |
|---|---|---|
| Owner | Ressourcengruppe | ✔ Ja |
| Mitwirkender | Ressourcengruppe | ✔ Ja |
| Azure AI-Benutzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Projektmanager | Ressourcengruppe | ✗ Nein |
| Azure AI-Kontobesitzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Besitzer | Ressourcengruppe | ✗ Nein |
Die verwaltete Identität des Projekts benötigt Berechtigungen, um das Bild von ACR abzurufen. Für diesen Vorgang sind zwei integrierte Rollen geeignet, die dem ACR-Registrierungsressourcenbereich zugewiesen werden sollten:
- Containerregistrierungs-Repository-Reader (bevorzugt, da er den Pull als Datenaktion modelliert)
- AcrPull
Das Erstellen dieser Rollenzuweisung erfordert die Microsoft.Authorization/roleAssignments/write Berechtigung im Bereich der ACR-Registrierung.
Ausführliche Informationen zum Zuweisen von Rollen in Azure finden Sie unter Erstellen von Azure-Rollenzuweisungen.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Rollenzuweisung erstellen? |
|---|---|---|
| Owner | ACR-Registrierung | ✔ Ja |
| Mitwirkender | ACR-Registrierung | ✗ Nein |
| Azure AI-Benutzer | ACR-Registrierung | ✗ Nein |
| Azure AI-Projektmanager | ACR-Registrierung | ✗ Nr. 1 |
| Azure AI-Kontobesitzer | ACR-Registrierung | ✗ Nr. 1 |
| Azure AI-Besitzer | ACR-Registrierung | ✗ Nein |
| Rollenbasierter Zugriffskontrolladministrator | ACR-Registrierung | ✔ Ja |
1 Diese Rollen weisen roleAssignments/write jedoch nur die Azure AI User Rolle zu, was keine ACR-Berechtigungen abdeckt.
Der Benutzer- oder Dienstprinzipal, der Bilder in die Registrierung überträgt, benötigt auch eine Rollenzuweisung. Weitere Informationen finden Sie im Abschnitt zur Bereitstellung des gehosteten Agents .
Setup von Application Insights und Log Analytics
Zum Erstellen einer Application Insights-Ressource ist die Microsoft.Insights/components/write Berechtigung im Bereich der Ressourcengruppe erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Application Insights-Ressource erstellen? |
|---|---|---|
| Owner | Ressourcengruppe | ✔ Ja |
| Mitwirkender | Ressourcengruppe | ✔ Ja |
| Azure AI-Benutzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Projektmanager | Ressourcengruppe | ✗ Nein |
| Azure AI-Kontobesitzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Besitzer | Ressourcengruppe | ✗ Nein |
Zum Erstellen eines Log Analytics-Arbeitsbereichs ist die Microsoft.OperationalInsights/workspaces/write Berechtigung im Bereich der Ressourcengruppe erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene einen Log Analytics-Arbeitsbereich erstellen? |
|---|---|---|
| Owner | Ressourcengruppe | ✔ Ja |
| Mitwirkender | Ressourcengruppe | ✔ Ja |
| Azure AI-Benutzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Projektmanager | Ressourcengruppe | ✗ Nein |
| Azure AI-Kontobesitzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Besitzer | Ressourcengruppe | ✗ Nein |
Wenn Sie die Auswertungsfunktion verwenden möchten, benötigt die verwaltete Identität des Projekts Berechtigungen zum Lesen aus dem Log Analytics-Arbeitsbereich. Sie können diesen Zugriff aktivieren, indem Sie der verwalteten Identität des Projekts im Bereich des Log Analytics-Arbeitsbereichs die Log Analytics Data Reader Rolle gewähren.
Das Erstellen dieser Rollenzuweisung erfordert die Microsoft.Authorization/roleAssignments/write Berechtigung im Bereich des Log Analytics-Arbeitsbereichs.
Ausführliche Informationen zum Zuweisen von Rollen in Azure finden Sie unter Erstellen von Azure-Rollenzuweisungen.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Rollenzuweisung erstellen? |
|---|---|---|
| Owner | Log Analytics-Arbeitsbereich | ✔ Ja |
| Mitwirkender | Log Analytics-Arbeitsbereich | ✗ Nein |
| Azure AI-Benutzer | Log Analytics-Arbeitsbereich | ✗ Nein |
| Azure AI-Projektmanager | Log Analytics-Arbeitsbereich | ✗ Nr. 1 |
| Azure AI-Kontobesitzer | Log Analytics-Arbeitsbereich | ✗ Nr. 1 |
| Azure AI-Besitzer | Log Analytics-Arbeitsbereich | ✗ Nein |
| Rollenbasierter Zugriffskontrolladministrator | Log Analytics-Arbeitsbereich | ✔ Ja |
1 Diese Rollen sind roleAssignments/write jedoch darauf beschränkt, nur die Azure AI User Rolle zuzuweisen, was keine Log Analytics-Berechtigungen abdeckt.
Setup von Verbindungen
Zum Erstellen einer Verbindung ist die Microsoft.CognitiveServices/accounts/projects/connections/write Berechtigung im Bereich des Foundry-Projekts erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Verbindung erstellen? |
|---|---|---|
| Owner | Gießereiprojekt | ✔ Ja |
| Mitwirkender | Gießereiprojekt | ✔ Ja |
| Azure AI-Benutzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
Der Benutzer oder Dienstprinzipal, der die Verbindungen erstellt, benötigt auch die Verbindungsinformationen für die Application Insights-Komponente und die Containerregistrierung. Die Verbindungsdetails können vom Benutzer oder Dienstprinzipal bereitgestellt werden, der diese Ressourcen erstellt hat, oder durch Lesezugriff auf diese Ressourcen.
Note
Gehostete Agents verwenden häufig Tools und Verbindungen, die auf weitere Azure-Ressourcen abzielen. Diese Ressourcen erfordern möglicherweise zusätzliche Rollenzuweisungen für die aufrufende Identität oder die Agentidentität im Zielressourcenbereich. Tools, die auf Storage, Azure AI Search, Key Vault oder Datenbanken zugreifen, erfordern in der Regel zusätzlich zu den in diesem Artikel dokumentierten Kerneinrichtungsberechtigungen ihre eigenen Berechtigungen auf der Datenebene.
Agentanwendungen
Wenn Sie Agent-Anwendungen verwenden, müssen Sie eine Agentanwendung im Foundry-Projekt erstellen. Zum Erstellen einer Agentanwendung ist die Microsoft.CognitiveServices/accounts/projects/applications/write Berechtigung im Bereich des Foundry-Projekts erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Agentanwendung erstellen? |
|---|---|---|
| Owner | Gießereiprojekt | ✔ Ja |
| Mitwirkender | Gießereiprojekt | ✔ Ja |
| Azure AI-Benutzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
agentDeployment Objekte sind auch ARM-Ressourcen, aber sie werden als Teil des Bereitstellungsprozesses des gehosteten Agents erstellt. Weitere Informationen finden Sie unter Bereitstellung des gehosteten Agents.
Agent-Erstellung
Agents werden über einen Datenebenenvorgang erstellt. Das Erstellen eines Agents erfordert die Microsoft.CognitiveServices/accounts/AIServices/agents/write Berechtigung im Bereich des Foundry-Projekts.
| Eingebaute Rolle | Scope | Kann der Zuweisene einen Agent erstellen? |
|---|---|---|
| Owner | Gießereiprojekt | ✗ Nein |
| Mitwirkender | Gießereiprojekt | ✗ Nein |
| Azure AI-Benutzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
Da die Agentidentität nach dem Erstellen des Agents möglicherweise nur verfügbar ist, können einige Rollenzuweisungen erst nach diesem Zeitpunkt erstellt werden. Um modellbezogene Ableitungen mit dem Projektendpunkt durchzuführen, benötigt die Agentidentität die Microsoft.CognitiveServices/accounts/AIServices/responses/* Berechtigung im Bereich des Foundry-Projekts.
| Eingebaute Rolle | Scope | Kann der zugewiesene Agent modellinferencing durchführen? |
|---|---|---|
| Owner | Gießereiprojekt | ✗ Nein |
| Mitwirkender | Gießereiprojekt | ✗ Nein |
| Azure AI-Benutzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
Tip
Azure AI User ist die integrierte Rolle mit den geringsten Rechten, die modellbasierte Ableitungen mit dem Projektendpunkt ausführen kann. Sie enthält jedoch einen breiteren Satz von Berechtigungen als unbedingt erforderlich für diesen Vorgang. Um die Berechtigungen zu verringern, die Ihrem Agent gewährt werden, sollten Sie eine benutzerdefinierte Rolle nur Microsoft.CognitiveServices/accounts/AIServices/responses/*mit dieser Rolle erstellen.
Das Erstellen dieser Rollenzuweisung erfordert die Microsoft.Authorization/roleAssignments/write Berechtigung im Bereich des Foundry-Projekts.
Ausführliche Informationen zum Zuweisen von Rollen in Azure finden Sie unter Erstellen von Azure-Rollenzuweisungen.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Rollenzuweisung erstellen? |
|---|---|---|
| Owner | Gießereiprojekt | ✔ Ja |
| Mitwirkender | Gießereiprojekt | ✗ Nein |
| Azure AI-Benutzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja für Azure AI User Rolle1 |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✔ Ja für Azure AI User Rolle1 |
| Azure AI-Besitzer | Gießereiprojekt | ✗ Nein |
| Rollenbasierter Zugriffskontrolladministrator | Gießereiprojekt | ✔ Ja |
1 Beide und Azure AI Project ManagerAzure AI Account Owner eine Einschränkung haben, die sie nur der Azure AI User Rolle zuweisen können. Wenn Sie eine benutzerdefinierte Rollendefinition für den Agent für den Zugriff auf das Projekt Azure AI Project Manager verwenden möchten und Azure AI Account Owner diese benutzerdefinierte Rolle nicht zuweisen können.
Important
Da nach der Erstellung des Agents eine Rollenzuweisung erforderlich ist, benötigt der Benutzer oder Prinzipal, der den Agent erstellt, auch die Berechtigung zum Erstellen von Rollenzuweisungen.
Azure AI-Projektmanager im Projektbereich ist die empfohlene Rollenzuweisung für Agentersteller, da diese Rolle sowohl die erforderlichen Berechtigungen für die Datenebene als auch die Möglichkeit zum Zuweisen der Azure AI User Rolle umfasst.
Optionaler Kontozugriff
Wenn Sie das Foundry SDK und den Projektendpunkt für modellbasierte Ableitung verwenden, leitet die Projektproxys Aufrufe an die Bereitstellung auf Kontoebene mithilfe ihrer eigenen verwalteten Identität ab. Wenn Ihr Agentcode den Projektendpunkt jedoch umgeht und den OpenAI-Endpunkt auf Kontoebene direkt aufruft (z https://{account}.cognitiveservices.azure.com. B. ), benötigt die Identität des Agents eine der folgenden Rollen im Kontobereich:
- Cognitive Services OpenAI User - deckt nur OpenAI-Datenaktionen ab.
- Azure AI-Benutzer – deckt alle CognitiveServices-Datenaktionen auf dem Konto ab.
Funktionen auf Kontoebene werden nicht vom Projektendpunkt proxiziert. Zu diesen Funktionen gehören Spracherkennung, Inhaltssicherheit, Computer vision, Dokumentintelligenz, Sprache und Übersetzer. Sie erfordern eine Rollenzuweisung im Kontobereich, wenn Ihr Agent direkt darauf zugreift. Weisen Sie für diese Funktionen eine der folgenden Rollen im Kontobereich zu:
- Cognitive Services User - behandelt Spracherkennung, Vision, Sprache und andere Nicht-OpenAI-Funktionen.
- Azure AI-Benutzer – deckt alle CognitiveServices-Datenaktionen ab, einschließlich OpenAI und der zuvor aufgeführten Funktionen mit einer einzigen Gewährung.
Bereitstellung gehosteter Agent
Gehostete Agent-Bereitstellungsvorgänge sind Steuerungsebenenvorgänge. Eine schrittweise Bereitstellungsanleitung finden Sie unter Bereitstellen eines gehosteten Agents.
Übertragen eines Bilds in die Registrierung
Der Benutzer oder Dienstprinzipal, der den Agent bereitstellt, benötigt die Berechtigung, das Image an ACR zu übertragen. Für diesen Vorgang sind zwei integrierte Rollen geeignet, die dem ACR-Registrierungsressourcenbereich zugewiesen werden sollten:
- Containerregistrierungs-Repository Writer (bevorzugt, da sie den Push als Datenaktion modelliert)
- AcrPush
Erstellen einer neuen Agentversion
Das Erstellen eines Agents erfordert die Microsoft.CognitiveServices/accounts/AIServices/agents/write Berechtigung im Bereich des Foundry-Projekts.
| Eingebaute Rolle | Scope | Kann der Zuweisene eine Agentversion erstellen? |
|---|---|---|
| Owner | Gießereiprojekt | ✗ Nein |
| Mitwirkender | Gießereiprojekt | ✗ Nein |
| Azure AI-Benutzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
Wenn Sie Agent-Anwendungen verwenden, müssen Sie auch ein agentDeployment Objekt erstellen, das auf eine neu bereitgestellte Agentversion verweist. Dies ist ein Verwaltungsebenenbetrieb. Zum Erstellen eines agentDeployment Objekts ist die Microsoft.CognitiveServices/accounts/projects/applications/agentDeployments/write Berechtigung im Bereich der Agentanwendung erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene ein agentDeployment Objekt erstellen? |
|---|---|---|
| Owner | Gießerei-Konto | ✔ Ja |
| Mitwirkender | Gießerei-Konto | ✔ Ja |
| Azure AI-Benutzer | Gießerei-Konto | ✗ Nein |
| Azure AI-Projektmanager | Gießerei-Konto | ✔ Ja |
| Azure AI-Kontobesitzer | Gießerei-Konto | ✔ Ja |
| Azure AI-Besitzer | Gießerei-Konto | ✔ Ja |
Aktualisieren des Agents für die Verwendung der neuen Version
Wenn Sie den Agentendpunkt verwenden, wird die Versionsauswahl für das Agentobjekt konfiguriert. Das Aktualisieren des Agents für die Verwendung der neuen Version erfordert die Microsoft.CognitiveServices/accounts/AIServices/agents/write Berechtigung im Bereich des Foundry-Projekts.
| Eingebaute Rolle | Scope | Kann der Zuweisene die Agentversion aktualisieren? |
|---|---|---|
| Owner | Gießereiprojekt | ✗ Nein |
| Mitwirkender | Gießereiprojekt | ✗ Nein |
| Azure AI-Benutzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
Wenn Sie stattdessen die Agentanwendung verwenden, wird die Versionsauswahl für das Agentanwendungsobjekt konfiguriert. Das Aktualisieren der Agentanwendung für die Verwendung des neuen agentDeployment Objekts erfordert die Microsoft.CognitiveServices/accounts/projects/applications/write Berechtigung im Bereich der Agentanwendung.
| Eingebaute Rolle | Scope | Kann der Zuweisene die Agentanwendung aktualisieren? |
|---|---|---|
| Owner | Gießerei-Konto | ✔ Ja |
| Mitwirkender | Gießerei-Konto | ✔ Ja |
| Azure AI-Benutzer | Gießerei-Konto | ✗ Nein |
| Azure AI-Projektmanager | Gießerei-Konto | ✔ Ja |
| Azure AI-Kontobesitzer | Gießerei-Konto | ✔ Ja |
| Azure AI-Besitzer | Gießerei-Konto | ✔ Ja |
Einrichten des Azure Bot-Diensts
Die Veröffentlichung Ihres Agents an Microsoft Teams oder Microsoft 365 Copilot ist optional. Wenn Sie dies tun, führt der Veröffentlichungsablauf Steuerungsebenenvorgänge aus, um eine Azure Bot Service-Ressource zu erstellen und seine Kanäle zu konfigurieren, aktualisiert dann entweder den Agent oder die Agentanwendung, um Anforderungen von Bot Service zuzulassen.
Erstellen des Botdiensts
Zum Erstellen der Botdienstressource ist die Microsoft.BotService/botServices/write Berechtigung im Bereich der Ressourcengruppe erforderlich.
| Eingebaute Rolle | Scope | Kann der Zuweisene einen Botdienst erstellen? |
|---|---|---|
| Owner | Ressourcengruppe | ✔ Ja |
| Mitwirkender | Ressourcengruppe | ✔ Ja |
| Azure AI-Benutzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Projektmanager | Ressourcengruppe | ✗ Nein |
| Azure AI-Kontobesitzer | Ressourcengruppe | ✗ Nein |
| Azure AI-Besitzer | Ressourcengruppe | ✗ Nein |
Note
Azure Bot Service ist ein separater Ressourcentyp von Foundry. Integrierte Azure AI-Rollen enthalten Microsoft.BotService/* keine Berechtigungen.
Konfigurieren von Kanälen
Das Konfigurieren der Teams- und Microsoft 365-Erweiterungskanäle für den Botdienst erfordert die Microsoft.BotService/botServices/channels/write Berechtigung im Bereich der Botdienstressource.
| Eingebaute Rolle | Scope | Können Zuweisene Kanäle konfigurieren? |
|---|---|---|
| Owner | Bot-Dienst | ✔ Ja |
| Mitwirkender | Bot-Dienst | ✔ Ja |
| Azure AI-Benutzer | Bot-Dienst | ✗ Nein |
| Azure AI-Projektmanager | Bot-Dienst | ✗ Nein |
| Azure AI-Kontobesitzer | Bot-Dienst | ✗ Nein |
| Azure AI-Besitzer | Bot-Dienst | ✗ Nein |
Aktualisieren der Agent- oder Agentanwendung
Der Veröffentlichungsfluss legt Kanäle (Azure Bot Service) als Authentifizierungsmodus für die Agent- oder Agentanwendung fest. Das objekt, das aktualisiert wird, hängt von Ihrem Szenario ab:
- Agentanwendungsszenario: Das Agentanwendungsobjekt wird aktualisiert. Dies ist ein Steuerungsebenen-Schreibvorgang. Die gleichen Rollenanforderungen gelten wie in Agentanwendungen dokumentiert.
- Agentendpunktszenario: Das Agentobjekt wird aktualisiert. Dies ist ein Datenebenen-Schreibvorgang. Die gleichen Rollenanforderungen gelten wie in "Erstellen einer neuen Agentversion".
Eine schrittweise Anleitung zum Veröffentlichen in Teams oder M365 Copilot finden Sie unter Veröffentlichen von Agents in Microsoft 365 Copilot und Microsoft Teams.
Agentinteraktion
Für die Interaktion mit dem Agent muss der aufrufende Benutzer oder Dienstprinzipal über eine Berechtigung für die Datenebene verfügen. Um mit einer Agentanwendung zu interagieren, benötigen Microsoft.CognitiveServices/accounts/AIServices/applications/invoke/action sie im Bereich der Agentanwendung.
| Eingebaute Rolle | Scope | Kann der Zuweisene mit dem Agent interagieren? |
|---|---|---|
| Owner | Gießereiprojekt | ✗ Nein |
| Mitwirkender | Gießereiprojekt | ✗ Nein |
| Azure AI-Benutzer | Gießereiprojekt | ✔ Ja |
| Azure AI-Projektmanager | Gießereiprojekt | ✔ Ja |
| Azure AI-Kontobesitzer | Gießereiprojekt | ✗ Nein |
| Azure AI-Besitzer | Gießereiprojekt | ✔ Ja |
Verwandte Inhalte
- Gehostete Agents: Lernen Sie die Architektur und den Lebenszyklus des gehosteten Agents kennen.
- Rollenbasierte Zugriffssteuerung für Microsoft Foundry: Überprüfen sie integrierte Rollen, Bereiche und Zuordnungsmuster.
- Agentidentität: Verstehen, wie sich die vom Agent verwaltete Identität und die vom Projekt verwaltete Identität unterscheiden.