Condividi tramite

Usare i dati in modo sicuro con il playground del portale di Azure AI Foundry

  • Articolo

Usare questo articolo per informazioni su come usare in modo sicuro la chat del playground di Azure AI Foundry sui dati. Le sezioni seguenti forniscono la configurazione consigliata per proteggere i dati e le risorse usando il controllo degli accessi in base al ruolo di Microsoft Entra ID, una rete gestita e gli endpoint privati. È consigliabile disabilitare l'accesso alla rete pubblica per le risorse OpenAI di Azure, le risorse di Ricerca di intelligenza artificiale di Azure e gli account di archiviazione. L'uso di reti selezionate con regole IP non è supportato perché gli indirizzi IP dei servizi sono dinamici.

Nota

Le impostazioni della rete virtuale gestita di Azure AI Foundry si applicano solo alle risorse di calcolo gestite di Azure AI Foundry, non ai servizi PaaS (Platform as a Service), ad esempio Azure OpenAI o Ricerca di intelligenza artificiale di Azure. Quando si usano i servizi PaaS, non esiste alcun rischio di esfiltrazione dei dati perché i servizi sono gestiti da Microsoft.

La tabella seguente riepiloga le modifiche apportate in questo articolo:

Configurazioni Predefiniti Protezione Note
Dati inviati tra servizi Inviato tramite la rete pubblica Inviato tramite una rete privata I dati vengono inviati crittografati usando HTTPS anche tramite la rete pubblica.
Autenticazione servizio Chiavi API Microsoft Entra ID Chiunque abbia la chiave API può eseguire l'autenticazione al servizio. Microsoft Entra ID offre un'autenticazione più granulare e affidabile.
Autorizzazioni del servizio Chiavi API Controllo degli accessi in base al ruolo Le chiavi API forniscono l'accesso completo al servizio. Il controllo degli accessi in base al ruolo fornisce un accesso granulare al servizio.
Accesso alla rete Pubblico Privato L'uso di una rete privata impedisce alle entità esterne alla rete privata di accedere alle risorse protette.

Prerequisiti

Assicurarsi che l'hub di Azure AI Foundry sia distribuito con l'impostazione di accesso basato sull'identità per l'account di archiviazione. Questa configurazione è necessaria per il controllo di accesso e la sicurezza corretti dell'hub di Azure AI Foundry. È possibile verificare questa configurazione usando uno dei metodi seguenti:

  • Nel portale di Azure selezionare l'hub e quindi selezionare Impostazioni, Proprietà e Opzioni. Nella parte inferiore della pagina verificare che il tipo di accesso dell'account di archiviazione sia impostato su Accesso basato sull'identità.
  • Se si distribuisce usando Azure Resource Manager o modelli Bicep, includere la proprietà systemDatastoresAuthMode: 'identity' nel modello di distribuzione.
  • È necessario avere familiarità con l'uso del controllo degli accessi in base al ruolo di Microsoft Entra ID per assegnare ruoli a risorse e utenti. Per altre informazioni, vedere l'articolo Controllo degli accessi in base al ruolo .

Configurare l'hub di Azure AI Foundry isolato di rete

Se si sta creando un nuovo hub di Azure AI Foundry, usare uno dei documenti seguenti per creare un hub con isolamento di rete:

Se si dispone di un hub di Azure AI Foundry esistente che non è configurato per l'uso di una rete gestita, seguire questa procedura per configurarlo per usarlo:

  1. Nel portale di Azure selezionare l'hub, quindi selezionare Impostazioni, Networking, Accesso pubblico.

  2. Per disabilitare l'accesso alla rete pubblica per l'hub, impostare Accesso alla rete pubblica su Disabilitato. Seleziona Salva per applicare le modifiche.

    Screenshot delle impostazioni dell'hub Di Azure AI Foundry con accesso pubblico disabilitato.

  3. Selezionare Accesso in uscita gestito all'area di lavoro e successivamente selezionare la modalità di isolamento della rete Consenti Internet in uscita o Consenti uscita approvata. Seleziona Salva per applicare le modifiche.

    Screenshot delle impostazioni dell'hub di Azure AI Foundry con consenti l'opzione Internet in uscita selezionata.

Configurare la risorsa dei servizi di intelligenza artificiale di Azure

A seconda della configurazione, è possibile usare una risorsa dei servizi di intelligenza artificiale di Azure che include anche Azure OpenAI o una risorsa OpenAI di Azure autonoma. I passaggi descritti in questa sezione configurano una risorsa dei servizi di intelligenza artificiale. Gli stessi passaggi si applicano a una risorsa OpenAI di Azure.

  1. Se non si ha una risorsa dei servizi di intelligenza artificiale di Azure esistente per l'hub di Azure AI Foundry, crearne una.

  2. Nel portale di Azure selezionare la risorsa servizi di intelligenza artificiale, quindi selezionare __Gestione risorse, Identità e Sistema assegnato.

  3. Per creare un'identità gestita per la risorsa dei servizi di intelligenza artificiale, impostare Stato su . Seleziona Salva per applicare le modifiche.

    Screenshot dell'impostazione dello stato dell'identità gestita su attivato.

  4. Per disabilitare l'accesso alla rete pubblica, selezionare Networking, Firewall e reti virtuali e quindi impostare Consenti l'accesso da su Disabilitato. In Eccezioni verificare che l'opzione Consenti i servizi di Azure nell'elenco dei servizi attendibili sia abilitata. Seleziona Salva per applicare le modifiche.

    Screenshot dei servizi di intelligenza artificiale con accesso alla rete pubblica disabilitato.

  5. Per creare un endpoint privato per la risorsa dei servizi di intelligenza artificiale, selezionare Networking, Connessioni endpoint privato e quindi selezionare + Endpoint privato. Questo endpoint privato viene usato per consentire ai client nella rete virtuale di Azure di comunicare in modo sicuro con la risorsa dei servizi di intelligenza artificiale. Per altre informazioni sull'uso di endpoint privati con i servizi di intelligenza artificiale di Azure, vedere l'articolo Usare endpoint privati.

    Screenshot della sezione endpoint privato per i servizi di intelligenza artificiale.

    1. Nella scheda Dati principali immettere un nome univoco per l'endpoint privato, l'interfaccia di rete e selezionare l'area in cui creare l'endpoint privato.
    2. Nella scheda Risorsa accettare la sottorisorsa di destinazione dell'account.
    3. Nella scheda Rete virtuale selezionare la rete virtuale di Azure a cui si connette l'endpoint privato. Questa rete deve corrispondere a quella a cui si connettono i client e a cui l'hub di Azure AI Foundry ha una connessione endpoint privato.
    4. Nella scheda DNS selezionare le impostazioni predefinite per il DNS.
    5. Nella scheda Rivedi + crea selezionare Crea per creare l'endpoint privato.

  6. Attualmente non è possibile disabilitare l'autenticazione locale (chiave condivisa) per i servizi di intelligenza artificiale di Azure tramite il portale di Azure. È invece possibile usare il cmdlet di Azure PowerShell seguente:

    Set-AzCognitiveServicesAccount -resourceGroupName "resourceGroupName" -name "AIServicesAccountName" -disableLocalAuth $true

    Per altre informazioni, vedere l'articolo Disabilitare l'autenticazione locale nei servizi di intelligenza artificiale di Azure.

È possibile prendere in considerazione l'uso di un indice di Ricerca intelligenza artificiale di Azure quando si desidera:

  • Personalizzare il processo di creazione dell'indice.
  • Riutilizzare un indice creato prima inserendo dati da altre origini dati.

Per usare un indice esistente, deve avere almeno un campo ricercabile. Verificare che sia mappata almeno una colonna vettoriale valida quando si usa la ricerca vettoriale. 

Importante

Le informazioni contenute in questa sezione sono applicabili solo per proteggere la risorsa di Ricerca intelligenza artificiale di Azure da usare con Azure AI Foundry. Se si usa Ricerca di intelligenza artificiale di Azure per altri scopi, potrebbe essere necessario configurare impostazioni aggiuntive. Per informazioni correlate sulla configurazione di Ricerca di intelligenza artificiale di Azure, vedere gli articoli seguenti:

  1. Se non si ha una risorsa di Ricerca intelligenza artificiale di Azure esistente per l'hub di Azure AI Foundry, crearne una.

  2. Nel portale di Azure selezionare la risorsa di ricerca di intelligenza artificiale, quindi selezionare Impostazioni, Identità e Sistema assegnato.

  3. Per creare un'identità gestita per la risorsa di ricerca di intelligenza artificiale, impostare Stato su . Seleziona Salva per applicare le modifiche.

    Screenshot di Ricerca di intelligenza artificiale con una configurazione dell'identità gestita dal sistema.

  4. Per disabilitare l'accesso alla rete pubblica, selezionare Impostazioni, Rete e Firewall e reti virtuali. Impostare Accesso alla rete pubblica su Disabilitato. In Eccezioni verificare che l'opzione Consenti i servizi di Azure nell'elenco dei servizi attendibili sia abilitata. Seleziona Salva per applicare le modifiche.

    Screenshot di Ricerca di intelligenza artificiale con accesso alla rete pubblica disabilitato.

  5. Per creare un endpoint privato per la risorsa di ricerca di intelligenza artificiale, selezionare Networking, Connessioni endpoint privati e quindi selezionare + Crea un endpoint privato.

    Screenshot della sezione endpoint privato di Ricerca di intelligenza artificiale.

    1. Nella scheda Dati principali immettere un nome univoco per l'endpoint privato, l'interfaccia di rete e selezionare l'area in cui creare l'endpoint privato.
    2. Nella scheda Risorsa selezionare la sottoscrizione che contiene la risorsa, impostare Tipo di risorsa su Microsoft.Search/searchServices e selezionare la risorsa Azure AI Search. L'unica sottorisorsa disponibile è searchService.
    3. Nella scheda Rete virtuale selezionare la rete virtuale di Azure a cui si connette l'endpoint privato. Questa rete deve corrispondere a quella a cui si connettono i client e a cui l'hub di Azure AI Foundry ha una connessione endpoint privato.
    4. Nella scheda DNS selezionare le impostazioni predefinite per il DNS.
    5. Nella scheda Rivedi + crea selezionare Crea per creare l'endpoint privato.

  6. Per abilitare l'accesso API in base ai controlli di accesso in base al ruolo, selezionare Impostazioni, Chiavi e quindi impostare Controllo di accesso API su Controllo degli accessi in base al ruolo o Entrambi. Selezionare _ per applicare le modifiche.

    Nota

    Selezionare Entrambi se si dispone di altri servizi che usano una chiave per accedere a Ricerca di intelligenza artificiale di Azure. Selezionare Controllo degli accessi in base al ruolo per disabilitare l'accesso basato su chiave.

    Screenshot di Ricerca di intelligenza artificiale con accesso all'API impostato su entrambi.

Configurare Archiviazione di Azure (solo inserimento)

Se si usa Archiviazione di Azure per lo scenario di inserimento con il playground del portale di Azure AI Foundry, è necessario configurare l'account Archiviazione di Azure.

  1. Creare una risorsa account di archiviazione

  2. Nel portale di Azure selezionare la risorsa Account di archiviazione, quindi Sicurezza + networking, Networking e Firewall e reti virtuali.

  3. Per disabilitare l'accesso alla rete pubblica e consentire l'accesso da servizi attendibili, impostare Accesso alla rete pubblica su Abilitato da reti virtuali e indirizzi IP selezionati. In Eccezioni verificare che l'opzione Consenti i servizi di Azure nell'elenco dei servizi attendibili sia abilitata.

    Screenshot della configurazione di rete dell'account di archiviazione.

  4. Impostare Accesso alla rete pubblica su Disabilitato e selezionare Salva per applicare le modifiche. La configurazione per consentire l'accesso da servizi attendibili è ancora abilitata.

  5. Per creare un endpoint privato per Archiviazione di Azure, selezionare Networking, Connessioni endpoint privati e selezionare + Endpoint privato.

    Screenshot della sezione endpoint privato per l'account di archiviazione.

    1. Nella scheda Dati principali immettere un nome univoco per l'endpoint privato, l'interfaccia di rete e selezionare l'area in cui creare l'endpoint privato.
    2. Nella scheda Risorsa impostare la sotto-risorsa di destinazione su BLOB.
    3. Nella scheda Rete virtuale selezionare la rete virtuale di Azure a cui si connette l'endpoint privato. Questa rete deve corrispondere a quella a cui si connettono i client e a cui l'hub di Azure AI Foundry ha una connessione endpoint privato.
    4. Nella scheda DNS selezionare le impostazioni predefinite per il DNS.
    5. Nella scheda Rivedi + crea selezionare Crea per creare l'endpoint privato.

  6. Ripetere il passaggio precedente per creare un endpoint privato, ma questa volta impostare la sotto-risorsa di destinazione su file. L'endpoint privato precedente consente la comunicazione sicura con l'archiviazione BLOB mentre questo endpoint privato consente la comunicazione sicura con l'archiviazione file.

  7. Per disabilitare l'autenticazione locale (chiave condivisa) nell'archiviazione, selezionare Configurazione in Impostazioni. Impostare Consenti l'accesso alla chiave dell'account di archiviazione su Disabilitato e selezionare Salva per applicare le modifiche. Per altre informazioni, vedere l'articolo Impedire l'autorizzazione con chiave condivisa.

Configurare Azure Key Vault

Azure AI Foundry usa Azure Key Vault per archiviare e gestire in modo sicuro i segreti. Per consentire l'accesso all'insieme di credenziali delle chiavi da servizi attendibili, seguire questa procedura.

Nota

Questi passaggi presuppongono che l'insieme di credenziali delle chiavi sia già stato configurato per l'isolamento di rete quando è stato creato l'hub di Azure AI Foundry.

  1. Nel portale di Azure selezionare la risorsa Key Vault, quindi selezionare Impostazioni, Networking e Firewall e reti virtuali.
  2. Nella sezione Eccezione della pagina assicurarsi che l'opzione Consenti ai servizi Microsoft attendibili di ignorare il firewall sia abilitata.

Configurare le connessioni per l'uso di Microsoft Entra ID

Le connessioni da Azure AI Foundry ai servizi di intelligenza artificiale di Azure e Ricerca di intelligenza artificiale di Azure devono usare Microsoft Entra ID per l'accesso sicuro. Le connessioni vengono create da Azure AI Foundry anziché dalla portale di Azure.

Importante

L'uso di Microsoft Entra ID con Ricerca di intelligenza artificiale di Azure è attualmente una funzionalità di anteprima. Per altre informazioni sulle connessioni, vedere l'articolo Aggiungere connessioni.

  1. da Azure AI Foundry selezionare Connessioni. Se sono presenti connessioni alle risorse, è possibile selezionare la connessione e successivamente l'icona a forma di matita nella sezione Dettagli di accesso per aggiornare la connessione. Impostare il campo Autenticazione su Microsoft Entra ID e quindi selezionare Aggiorna.
  2. Per creare una nuova connessione, selezionare + Nuova connessionee quindi selezionare il tipo di risorsa. Cercare la risorsa o immettere le informazioni necessarie, quindi impostare Autenticazione su Microsoft Entra ID. Selezionare Aggiungi connessione per creare la connessione.

Ripetere questi passaggi per ogni risorsa a cui ci si vuole connettere usando Microsoft Entra ID.

Assegnare ruoli a risorse e utenti

I servizi devono autorizzarsi a vicenda per accedere alle risorse connesse. L’amministratore che esegue la configurazione deve disporre del ruolo di Proprietario in queste risorse per aggiungere assegnazioni di ruolo. Nella tabella seguente sono elencate le assegnazioni di ruolo necessarie per ogni risorsa. La colonna Assegnatario fa riferimento all’identità gestita assegnata dal sistema della risorsa elencata. La colonna Risorsa fa riferimento alla risorsa a cui l’assegnatario vuole accedere. Ad esempio, Ricerca di intelligenza artificiale di Azure ha un'identità gestita assegnata dal sistema a cui deve essere assegnato il ruolo Collaboratore dati BLOB di archiviazione per l'account di archiviazione di Azure.

Per altre informazioni sull'assegnazione dei ruoli, vedere Esercitazione: Concedere a un utente l'accesso alle risorse.

Conto risorse Ruolo Assegnatario Descrizione
Azure AI Search Collaboratore ai dati dell'indice di ricerca Servizi di Azure AI/OpenAI Accesso in lettura/scrittura al contenuto degli indici. Importare, aggiornare o eseguire query sulla raccolta documenti di un indice. Usato solo per scenari di inserimento e inferenza.
Azure AI Search Lettore di dati dell'indice di ricerca Servizi di Azure AI/OpenAI Il servizio di inferenza esegue una query dei dati dall'indice. Usato solo per gli scenari di inferenza.
Azure AI Search Collaboratore servizi di ricerca Servizi di Azure AI/OpenAI Accesso in lettura/scrittura alle definizioni di oggetti (indici, alias, mappe sinonimi, indicizzatori, origini dati e set di competenze). Il servizio di inferenza esegue una query dello schema dell'indice per il mapping automatico dei campi. Il servizio di inserimento dati crea indici, origini dati, set di competenze, indicizzatore ed esegue query dello stato dell'indicizzatore.
Servizi di Azure AI/OpenAI Collaboratore Servizi cognitivi Azure AI Search Consenti a Ricerca di creare, leggere e aggiornare la risorsa dei servizi di intelligenza artificiale.
Servizi di Azure AI/OpenAI Collaboratore Servizi cognitivi OpenAI Azure AI Search Consenti ricerca la possibilità di ottimizzare, distribuire e generare testo
Account di archiviazione di Azure Collaboratore ai dati del BLOB di archiviazione Azure AI Search Legge BLOB e scrive un archivio conoscenze.
Account di archiviazione di Azure Collaboratore ai dati del BLOB di archiviazione Servizi di Azure AI/OpenAI Legge dal contenitore di input e scrive il risultato della pre-elaborazione nel contenitore di output.
Archiviazione BLOB di Azure endpoint privato Lettore Progetto Azure AI Foundry Per il progetto Azure AI Foundry con rete gestita abilitata per accedere all'archiviazione BLOB in un ambiente con restrizioni di rete
Risorsa Azure OpenAI per il modello della chat Utente Servizi cognitivi OpenAI Risorsa Azure OpenAI per il modello di incorporamento [Facoltativo] Obbligatorio solo se si usano due risorse OpenAI di Azure per comunicare.

Nota

Il ruolo Utente OpenAI dei Servizi cognitivi è necessario solo se si usano due risorse Azure OpenAI: una per il modello della chat e una per il modello di incorporamento. Se questo è il caso, abilitare i servizi attendibili E verificare che nella connessione per la risorsa Azure OpenAI del modello di incorporamento sia abilitato Entra ID.

Assegnare ruoli agli sviluppatori

Per consentire agli sviluppatori di usare queste risorse per creare applicazioni, assegnare i ruoli seguenti all'identità dello sviluppatore in Microsoft Entra ID. Ad esempio, assegnare il ruolo Collaboratore servizi di ricerca all'ID Microsoft Entra dello sviluppatore per la risorsa ricerca di Intelligenza artificiale di Azure.

Per altre informazioni sull'assegnazione dei ruoli, vedere Esercitazione: Concedere a un utente l'accesso alle risorse.

Conto risorse Ruolo Assegnatario Descrizione
Azure AI Search Collaboratore servizi di ricerca ID Microsoft Entra dello sviluppatore Elencare le chiavi API per elencare gli indici dal portale di Azure AI Foundry.
Azure AI Search Collaboratore ai dati dell'indice di ricerca ID Microsoft Entra dello sviluppatore Obbligatorio per lo scenario di indicizzazione.
Servizi di Azure AI/OpenAI Collaboratore Servizi cognitivi OpenAI ID Microsoft Entra dello sviluppatore Chiamare l'API di inserimento pubblico dal portale di Azure AI Foundry.
Servizi di Azure AI/OpenAI Collaboratore Servizi cognitivi ID Microsoft Entra dello sviluppatore Elencare le chiavi API dal portale di Azure AI Foundry.
Servizi di Azure AI/OpenAI Collaboratore ID Microsoft Entra dello sviluppatore Consente le chiamate al piano di controllo.
Account di archiviazione di Azure Collaboratore ID Microsoft Entra dello sviluppatore Elencare la firma di accesso condiviso dell'account per caricare i file dal portale di Azure AI Foundry.
Account di archiviazione di Azure Collaboratore ai dati del BLOB di archiviazione ID Microsoft Entra dello sviluppatore Necessario per consentire agli sviluppatori di leggere e scrivere nell'archivio BLOB.
Account di archiviazione di Azure Collaboratore privilegiato per i dati dei file di archiviazione ID Microsoft Entra dello sviluppatore Necessario per accedere alla condivisione file nell'archiviazione per i dati Promptflow.
Il gruppo di risorse o la sottoscrizione di Azure in cui lo sviluppatore deve distribuire l'app Web in Collaboratore ID Microsoft Entra dello sviluppatore Distribuire l'app Web nella sottoscrizione di Azure dello sviluppatore.

Usare i dati nel portale di Azure AI Foundry

I dati aggiunti ad Azure AI Foundry sono ora protetti nella rete isolata fornita dall'hub e dal progetto di Azure AI Foundry. Per un esempio di uso dei dati, vedere l'esercitazione sulla compilazione di un copilot di domanda e risposta.

Distribuire app Web

Per informazioni sulla configurazione delle distribuzioni di app Web, vedere l'articolo Usare Azure OpenAI sui dati in modo sicuro.

Limiti

Quando si usa il playground chat nel portale di Azure AI Foundry, non passare a un'altra scheda all'interno di Studio. Se si passa a un'altra scheda, quando si torna alla scheda Chat è necessario rimuovere i dati e quindi aggiungerli di nuovo.

Contenuto correlato