Partilhar via


Use seus dados com segurança com o playground do portal do Azure AI Foundry

Use este artigo para saber como usar com segurança o bate-papo do playground do Azure AI Foundry em seus dados. As seções a seguir fornecem nossa configuração recomendada para proteger seus dados e recursos usando o controle de acesso baseado em função do Microsoft Entra ID, uma rede gerenciada e pontos de extremidade privados. Recomendamos desativar o acesso à rede pública para recursos do Azure OpenAI, recursos do Azure AI Search e contas de armazenamento. O uso de redes selecionadas com regras IP não é suportado porque os endereços IP dos serviços são dinâmicos.

Nota

As configurações de rede virtual gerenciada do Azure AI Foundry aplicam-se apenas aos recursos de computação gerenciados do Azure AI Foundry, não aos serviços de plataforma como serviço (PaaS), como o Azure OpenAI ou o Azure AI Search. Ao usar serviços PaaS, não há risco de exfiltração de dados porque os serviços são gerenciados pela Microsoft.

A tabela a seguir resume as alterações feitas neste artigo:

Configurações Predefinido Proteger Notas
Dados enviados entre serviços Enviado através da rede pública Enviado através de uma rede privada Os dados são enviados criptografados usando HTTPS, mesmo através da rede pública.
Autenticação de serviço Chaves de API Microsoft Entra ID Qualquer pessoa com a chave da API pode autenticar-se no serviço. O Microsoft Entra ID fornece autenticação mais granular e robusta.
Permissões de serviço Chaves de API Controlo de acesso baseado em funções As chaves de API fornecem acesso total ao serviço. O controle de acesso baseado em função fornece acesso granular ao serviço.
Acesso à rede Público Privado O uso de uma rede privada impede que entidades fora da rede privada acessem recursos protegidos por ela.

Pré-requisitos

Certifique-se de que o hub do Azure AI Foundry seja implantado com a configuração de acesso baseada em Identidade para a conta de Armazenamento. Essa configuração é necessária para o controle de acesso e a segurança corretos do seu Azure AI Foundry Hub. Você pode verificar essa configuração usando um dos seguintes métodos:

  • No portal do Azure, selecione o hub e, em seguida, selecione Configurações, Propriedades e Opções. Na parte inferior da página, verifique se o tipo de acesso à conta de armazenamento está definido como Acesso baseado em identidade.
  • Se estiver implantando usando modelos do Azure Resource Manager ou Bicep, inclua a systemDatastoresAuthMode: 'identity' propriedade em seu modelo de implantação.
  • Você deve estar familiarizado com o uso do controle de acesso baseado em função do Microsoft Entra ID para atribuir funções a recursos e usuários. Para obter mais informações, visite o artigo Controle de acesso baseado em função.

Configurar o Azure AI Foundry Hub Isolado de Rede

Se você estiver criando um novo hub do Azure AI Foundry, use um dos seguintes documentos para criar um hub com isolamento de rede:

Se você tiver um hub existente do Azure AI Foundry que não esteja configurado para usar uma rede gerenciada, use as seguintes etapas para configurá-lo para usar uma:

  1. No portal do Azure, selecione o hub e, em seguida, selecione Configurações, Rede, Acesso público.

  2. Para desativar o acesso à rede pública para o hub, defina Acesso à rede pública como Desativado. Selecione Guardar para aplicar as alterações.

    Captura de ecrã das definições do hub do Azure AI Foundry com o acesso público desativado.

  3. Selecione Acesso de saída gerenciado ao espaço de trabalho e selecione o modo Permitir saída da Internet ou Permitir somente isolamento de rede de saída aprovado. Selecione Guardar para aplicar as alterações.

    Captura de ecrã das definições do hub do Azure AI Foundry com a opção permitir saída da Internet selecionada.

Configurar o recurso de serviços de IA do Azure

Dependendo da sua configuração, você pode usar um recurso de serviços de IA do Azure que também inclua o Azure OpenAI ou um recurso autônomo do Azure OpenAI. As etapas nesta seção configuram um recurso de serviços de IA. As mesmas etapas se aplicam a um recurso do Azure OpenAI.

  1. Se você não tiver um recurso de serviços de IA do Azure existente para seu hub do Azure AI Foundry, crie um.

  2. No portal do Azure, selecione o recurso de serviços de IA e, em seguida, selecione __Resource Gerenciamento, Identidade e Sistema atribuídos.

  3. Para criar uma identidade gerenciada para o recurso de serviços de IA, defina o Status como Ativado. Selecione Guardar para aplicar as alterações.

    Captura de ecrã a mostrar a definição do estado da identidade gerida como ativado.

  4. Para desativar o acesso à rede pública, selecione Rede, Firewalls e redes virtuais e defina Permitir acesso de para Desativado. Em Exceções, verifique se Permitir serviços do Azure na lista de serviços confiáveis está habilitado. Selecione Guardar para aplicar as alterações.

    Captura de ecrã de serviços de IA com acesso à rede pública desativado.

  5. Para criar um ponto de extremidade privado para o recurso de serviços de IA, selecione Rede, Conexões de ponto de extremidade privado e, em seguida, selecione + Ponto de extremidade privado. Esse ponto de extremidade privado é usado para permitir que os clientes em sua Rede Virtual do Azure se comuniquem com segurança com o recurso de serviços de IA. Para obter mais informações sobre como usar pontos de extremidade privados com serviços de IA do Azure, visite o artigo Usar pontos de extremidade privados.

    Captura de tela da seção de ponto final privado para serviços de IA.

    1. Na guia Noções básicas, insira um nome exclusivo para o ponto de extremidade privado, interface de rede e selecione a região na qual criar o ponto de extremidade privado.
    2. Na guia Recurso, aceite o subrecurso de destino da conta.
    3. Na guia Rede Virtual, selecione a Rede Virtual do Azure à qual o ponto de extremidade privado se conecta. Essa rede deve ser a mesma à qual seus clientes se conectam e à qual o hub do Azure AI Foundry tem uma conexão de ponto de extremidade privada.
    4. Na guia DNS, selecione os padrões para as configurações de DNS.
    5. Continue para a guia Revisar + criar e selecione Criar para criar o ponto de extremidade privado.
  6. Atualmente, não é possível desabilitar a autenticação local (chave compartilhada) para serviços de IA do Azure por meio do portal do Azure. Em vez disso, você pode usar o seguinte cmdlet do Azure PowerShell :

    Set-AzCognitiveServicesAccount -resourceGroupName "resourceGroupName" -name "AIServicesAccountName" -disableLocalAuth $true
    

    Para obter mais informações, visite o artigo Desabilitar autenticação local nos serviços de IA do Azure.

Talvez você queira considerar o uso de um índice do Azure AI Search quando quiser:

  • Personalize o processo de criação do índice.
  • Reutilize um índice criado anteriormente ingerindo dados de outras fontes de dados.

Para usar um índice existente, ele deve ter pelo menos um campo pesquisável. Certifique-se de que pelo menos uma coluna de vetor válida esteja mapeada ao usar a pesquisa vetorial. 

Importante

As informações nesta seção só são aplicáveis para proteger o recurso Azure AI Search para uso com o Azure AI Foundry. Se você estiver usando o Azure AI Search para outros fins, talvez seja necessário definir configurações adicionais. Para obter informações relacionadas sobre como configurar o Azure AI Search, visite os seguintes artigos:

  1. Se você não tiver um recurso existente do Azure AI Search para seu hub do Azure AI Foundry, crie um.

  2. No portal do Azure, selecione o recurso AI Search e, em seguida, selecione Configurações, Identidade e Sistema atribuído.

  3. Para criar uma identidade gerenciada para o recurso AI Search, defina o Status como Ativado. Selecione Guardar para aplicar as alterações.

    Captura de tela da Pesquisa de IA com uma configuração de identidade gerenciada pelo sistema.

  4. Para desativar o acesso à rede pública, selecione Configurações, Rede e Firewalls e redes virtuais. Defina Acesso à rede pública como Desativado. Em Exceções, verifique se Permitir serviços do Azure na lista de serviços confiáveis está habilitado. Selecione Guardar para aplicar as alterações.

    Captura de ecrã da Pesquisa AI com o acesso à rede pública desativado.

  5. Para criar um ponto de extremidade privado para o recurso AI Search, selecione Rede, Conexões de ponto de extremidade privado e, em seguida, selecione + Criar um ponto de extremidade privado.

    Captura de ecrã da secção de terminais privados do AI Search.

    1. Na guia Noções básicas, insira um nome exclusivo para o ponto de extremidade privado, interface de rede e selecione a região na qual criar o ponto de extremidade privado.
    2. Na guia Recurso, selecione a Assinatura que contém o recurso, defina o Tipo de recurso como Microsoft.Search/searchServices e selecione o recurso Azure AI Search. O único subrecurso disponível é searchService.
    3. Na guia Rede Virtual, selecione a Rede Virtual do Azure à qual o ponto de extremidade privado se conecta. Essa rede deve ser a mesma à qual seus clientes se conectam e à qual o hub do Azure AI Foundry tem uma conexão de ponto de extremidade privada.
    4. Na guia DNS, selecione os padrões para as configurações de DNS.
    5. Continue para a guia Revisar + criar e selecione Criar para criar o ponto de extremidade privado.
  6. Para habilitar o acesso à API com base em controles de acesso baseados em função, selecione Configurações, Chaves e defina o controle de acesso à API como Controle de acesso baseado em função ou Ambos. Selecione _Sim para aplicar as alterações.

    Nota

    Selecione Ambos se você tiver outros serviços que usam uma chave para acessar a Pesquisa de IA do Azure. Selecione Controle de acesso baseado em função para desabilitar o acesso baseado em chave.

    Captura de tela da Pesquisa de IA com acesso à API definido para ambos.

Configurar o Armazenamento do Azure (somente ingestão)

Se você estiver usando o Armazenamento do Azure para o cenário de ingestão com o playground do portal do Azure AI Foundry, precisará configurar sua Conta de Armazenamento do Azure.

  1. Criar um recurso de Conta de Armazenamento

  2. No portal do Azure, selecione o recurso Conta de Armazenamento e, em seguida, selecione Segurança + rede, Rede e Firewalls e redes virtuais.

  3. Para desativar o acesso à rede pública e permitir o acesso a partir de serviços fidedignos, defina Acesso à rede pública como Ativado a partir de redes virtuais e endereços IP selecionados. Em Exceções, verifique se Permitir serviços do Azure na lista de serviços confiáveis está habilitado.

    Captura de tela da configuração de rede da conta de armazenamento.

  4. Defina Acesso à rede pública como Desativado e selecione Salvar para aplicar as alterações. A configuração para permitir o acesso de serviços confiáveis ainda está habilitada.

  5. Para criar um ponto de extremidade privado para o Armazenamento do Azure, selecione Rede, Conexões de ponto de extremidade privado e selecione + Ponto de extremidade privado.

    Captura de tela da seção de ponto de extremidade privado da conta de armazenamento.

    1. Na guia Noções básicas, insira um nome exclusivo para o ponto de extremidade privado, interface de rede e selecione a região na qual criar o ponto de extremidade privado.
    2. Na guia Recurso, defina o subrecurso Destino como blob.
    3. Na guia Rede Virtual, selecione a Rede Virtual do Azure à qual o ponto de extremidade privado se conecta. Essa rede deve ser a mesma à qual seus clientes se conectam e à qual o hub do Azure AI Foundry tem uma conexão de ponto de extremidade privada.
    4. Na guia DNS, selecione os padrões para as configurações de DNS.
    5. Continue para a guia Revisar + criar e selecione Criar para criar o ponto de extremidade privado.
  6. Repita a etapa anterior para criar um ponto de extremidade privado, no entanto, desta vez defina o subrecurso Destino como arquivo. O ponto de extremidade privado anterior permite comunicação segura para armazenamento de blob, e esse ponto de extremidade privado permite comunicação segura para armazenamento de arquivos.

  7. Para desativar a autenticação local (chave compartilhada) no armazenamento, selecione Configuração, em Configurações. Defina Permitir acesso à chave da conta de armazenamento como Desativado e selecione Salvar para aplicar as alterações. Para obter mais informações, visite o artigo Impedir autorização com chave compartilhada.

Configurar o Azure Key Vault

O Azure AI Foundry usa o Azure Key Vault para armazenar e gerenciar segredos com segurança. Para permitir o acesso ao cofre de chaves a partir de serviços confiáveis, use as etapas a seguir.

Nota

Estas etapas pressupõem que o cofre de chaves já tenha sido configurado para isolamento de rede quando você criou seu Azure AI Foundry Hub.

  1. No portal do Azure, selecione o recurso Cofre da Chave e, em seguida, selecione Configurações, Rede e Firewalls e redes virtuais.
  2. Na seção Exceção da página, verifique se Permitir que serviços confiáveis da Microsoft ignorem o firewall está habilitado.

Configurar conexões para usar o Microsoft Entra ID

As conexões do Azure AI Foundry com os serviços de IA do Azure e a Pesquisa de IA do Azure devem usar o Microsoft Entra ID para acesso seguro. As conexões são criadas a partir do Azure AI Foundry em vez do portal do Azure.

Importante

Usar o Microsoft Entra ID com o Azure AI Search é atualmente um recurso de visualização. Para obter mais informações sobre conexões, visite o artigo Adicionar conexões .

  1. no Azure AI Foundry, selecione Conexões. Se você tiver conexões existentes com os recursos, poderá selecionar a conexão e, em seguida, selecionar o ícone de lápis na seção Detalhes do Access para atualizar a conexão. Defina o campo Autenticação como ID do Microsoft Entra e selecione Atualizar.
  2. Para criar uma nova ligação, selecione + Nova ligação e, em seguida, selecione o tipo de recurso. Procure o recurso ou insira as informações necessárias e, em seguida, defina Autenticação como ID do Microsoft Entra. Selecione Adicionar conexão para criar a conexão.

Repita estas etapas para cada recurso ao qual você deseja se conectar usando a ID do Microsoft Entra.

Atribuir funções a recursos e usuários

Os serviços precisam se autorizar mutuamente para acessar os recursos conectados. O administrador que executa a configuração precisa ter a função Proprietário nesses recursos para adicionar atribuições de função. A tabela a seguir lista as atribuições de função necessárias para cada recurso. A coluna Cessionário refere-se à identidade gerenciada atribuída pelo sistema do recurso listado. A coluna Recurso refere-se ao recurso que o cessionário precisa acessar. Por exemplo, a Pesquisa de IA do Azure tem uma identidade gerenciada atribuída ao sistema que precisa ser atribuída à função de Colaborador de Dados de Blob de Armazenamento para a Conta de Armazenamento do Azure.

Para obter mais informações sobre como atribuir funções, consulte Tutorial: Conceder a um usuário acesso a recursos.

Recurso Função Cessionário Description
Pesquisa de IA do Azure Contribuidor de dados do índice de pesquisa Serviços de IA do Azure/OpenAI Acesso de leitura-gravação ao conteúdo em índices. Importe, atualize ou consulte a coleção de documentos de um índice. Usado apenas para cenários de ingestão e inferência.
Pesquisa de IA do Azure Leitor de dados de índice de pesquisa Serviços de IA do Azure/OpenAI O serviço de inferência consulta os dados do índice. Usado apenas para cenários de inferência.
Pesquisa de IA do Azure Colaborador do Serviço de Pesquisa Serviços de IA do Azure/OpenAI Acesso de leitura-gravação a definições de objeto (índices, aliases, mapas de sinônimos, indexadores, fontes de dados e conjuntos de habilidades). O serviço de inferência consulta o esquema de índice para mapeamento automático de campos. O serviço de ingestão de dados cria índice, fontes de dados, conjunto de habilidades, indexador e consulta o status do indexador.
Serviços de IA do Azure/OpenAI Colaborador de Serviços Cognitivos Pesquisa de IA do Azure Permitir que a Pesquisa crie, leia e atualize o recurso AI Services.
Serviços de IA do Azure/OpenAI Função de Contribuidor dos Serviços Cognitivos Pesquisa de IA do Azure Permitir à Pesquisa a capacidade de ajustar, implantar e gerar texto
Conta de armazenamento do Azure Contribuidor de Dados de Blobs de Armazenamento Pesquisa de IA do Azure Lê blob e escreve armazenamento de conhecimento.
Conta de armazenamento do Azure Contribuidor de Dados de Blobs de Armazenamento Serviços de IA do Azure/OpenAI Lê do contêiner de entrada e grava o resultado do pré-processo no contêiner de saída.
Ponto de extremidade privado do Armazenamento de Blobs do Azure Leitor Projeto Azure AI Foundry Para seu projeto do Azure AI Foundry com rede gerenciada habilitada para acessar o armazenamento de Blob em um ambiente restrito de rede
Azure OpenAI Resource para modelo de chat Utilizador OpenAI dos Serviços Cognitivos Recurso do Azure OpenAI para incorporar modelo [Opcional] Necessário somente se estiver usando dois recursos do Azure OpenAI para se comunicar.

Nota

A função Usuário do OpenAI dos Serviços Cognitivos só é necessária se você estiver usando dois recursos do Azure OpenAI: um para seu modelo de chat e outro para seu modelo de incorporação. Se isso se aplicar, habilite Serviços Confiáveis E verifique se a Conexão para seu modelo de incorporação do recurso Azure OpenAI tem o EntraID habilitado.

Atribuir funções a desenvolvedores

Para permitir que seus desenvolvedores usem esses recursos para criar aplicativos, atribua as seguintes funções à identidade do desenvolvedor no Microsoft Entra ID. Por exemplo, atribua a função de Colaborador dos Serviços de Pesquisa à ID do Microsoft Entra do desenvolvedor para o recurso Azure AI Search.

Para obter mais informações sobre como atribuir funções, consulte Tutorial: Conceder a um usuário acesso a recursos.

Recurso Função Cessionário Description
Pesquisa de IA do Azure Colaborador de Serviços de Pesquisa ID do Microsoft Entra do desenvolvedor Liste chaves de API para listar índices do Azure OpenAI Studio.
Pesquisa de IA do Azure Contribuidor de dados do índice de pesquisa ID do Microsoft Entra do desenvolvedor Necessário para o cenário de indexação.
Serviços de IA do Azure/OpenAI Função de Contribuidor dos Serviços Cognitivos ID do Microsoft Entra do desenvolvedor Chame a API de ingestão pública do Azure OpenAI Studio.
Serviços de IA do Azure/OpenAI Colaborador de Serviços Cognitivos ID do Microsoft Entra do desenvolvedor Liste chaves de API do Azure OpenAI Studio.
Serviços de IA do Azure/OpenAI Contribuinte ID do Microsoft Entra do desenvolvedor Permite chamadas para o plano de controle.
Conta de armazenamento do Azure Contribuinte ID do Microsoft Entra do desenvolvedor Listar Conta SAS para carregar arquivos do Azure OpenAI Studio.
Conta de armazenamento do Azure Contribuidor de Dados de Blobs de Armazenamento ID do Microsoft Entra do desenvolvedor Necessário para que os desenvolvedores leiam e gravem no armazenamento de blobs.
Conta de armazenamento do Azure Contribuidor com Privilégios aos Dados dos Ficheiros de Armazenamento ID do Microsoft Entra do desenvolvedor Necessário para acessar o compartilhamento de arquivos no armazenamento para dados do Promptflow.
O grupo de recursos ou a assinatura do Azure em que o desenvolvedor precisa implantar o aplicativo Web Contribuinte ID do Microsoft Entra do desenvolvedor Implante o aplicativo Web na assinatura do Azure do desenvolvedor.

Usar seus dados no portal do Azure AI Foundry

Agora, os dados que você adiciona ao Azure AI Foundry estão protegidos na rede isolada fornecida pelo seu hub e projeto do Azure AI Foundry. Para obter um exemplo de uso de dados, visite o tutorial do copiloto de criar uma pergunta e resposta.

Implantar aplicativos Web

Para obter informações sobre como configurar implantações de aplicativos Web, visite o artigo Usar o Azure OpenAI em seus dados com segurança .

Limitações

Ao usar o playground de bate-papo no portal do Azure AI Foundry, não navegue para outra guia no Studio. Se você navegar para outra guia, quando retornar à guia Bate-papo, deverá remover seus dados e adicioná-los novamente.