Безопасное использование данных с помощью игровой площадки портала Azure AI Foundry

Используйте эту статью, чтобы узнать, как безопасно использовать чат тестовой площадки Azure AI Foundry на ваших данных. В следующих разделах приведена рекомендуемая конфигурация для защиты данных и ресурсов с помощью управления доступом на основе ролей Microsoft Entra ID, управляемой сети и частных конечных точек. Рекомендуется отключить доступ к общедоступной сети для ресурсов Azure OpenAI, ресурсов поиска ИИ Azure и учетных записей хранения. Использование выбранных сетей с правилами IP-адресов не поддерживается, так как IP-адреса служб являются динамическими.

Примечание.

Параметры управляемой виртуальной сети AI Foundry применяются только к управляемым вычислительным ресурсам ИИ Foundry, а не к службам как услуга (PaaS), таким как Azure OpenAI или поиск azure AI. При использовании служб PaaS нет риска кражи данных, так как службы управляются корпорацией Майкрософт.

В следующей таблице приведены изменения, внесенные в этой статье:

Конфигурации	По умолчанию.	Защита	Примечания.
Данные, отправленные между службами	Отправка по общедоступной сети	Отправка через частную сеть	Данные отправляются с помощью HTTPS даже через общедоступную сеть.
Проверка подлинности службы	Ключи API	Microsoft Entra ID	Любой пользователь с ключом API может пройти проверку подлинности в службе. Идентификатор Microsoft Entra обеспечивает более подробную и надежную проверку подлинности.
Разрешения службы	Ключи API	Управление доступом на основе ролей	Ключи API предоставляют полный доступ к службе. Управление доступом на основе ролей обеспечивает детальный доступ к службе.
Доступ к сети	Общедоступные	Личные	Использование частной сети запрещает сущностям вне частной сети получать доступ к ресурсам, защищенным им.

Необходимые компоненты

Убедитесь, что центр ИИ Foundry развернут с параметром доступа на основе удостоверений для учетной записи хранения. Эта конфигурация необходима для правильного управления доступом и безопасности Центра ИИ Foundry Hub. Эту конфигурацию можно проверить с помощью одного из следующих методов:

• В портал Azure выберите концентратор, а затем выберите параметры, свойства и параметры. В нижней части страницы убедитесь, что для типа доступа к учетной записи хранения задан доступ на основе удостоверений.
• При развертывании с помощью шаблонов Azure Resource Manager или Bicep добавьте systemDatastoresAuthMode: 'identity' свойство в шаблон развертывания.
• Чтобы назначить роли ресурсам и пользователям, необходимо ознакомиться с помощью управления доступом на основе ролей на основе ролей Microsoft Entra. Дополнительные сведения см. в статье управления доступом на основе ролей.

Настройка Центра обнаружения и изоляции сети ИИ

Если вы создаете новый центр Azure AI Foundry, используйте один из следующих документов, чтобы создать концентратор с сетевой изоляцией:

• Создание безопасного центра Azure AI Foundry в портал Azure
• Создание безопасного центра Azure AI Foundry с помощью пакета SDK для Python или Azure CLI

Если у вас есть существующий центр Azure AI Foundry, который не настроен для использования управляемой сети, выполните следующие действия, чтобы настроить его для использования:

1. В портал Azure выберите концентратор, а затем выберите "Параметры", "Сеть", "Общедоступный доступ".

2. Чтобы отключить доступ к общедоступной сети для концентратора, задайте для общедоступного сетевого доступа значение "Отключено". Выберите Сохранить, чтобы применить изменения.

   

3. Выберите "Рабочая область", управляемый исходящим доступом, а затем выберите режим "Разрешить исходящий интернет" или "Разрешить только утвержденный" сетевой изоляции. Выберите Сохранить, чтобы применить изменения.

   

Настройка ресурса служб искусственного интеллекта Azure

В зависимости от конфигурации можно использовать ресурс служб ИИ Azure, который также включает Azure OpenAI или автономный ресурс Azure OpenAI. Действия, описанные в этом разделе, по настройке ресурса служб ИИ. Те же действия применяются к ресурсу Azure OpenAI.

1. Если у вас нет существующего ресурса служб ИИ Azure для центра Azure AI Foundry, создайте его.

2. В портал Azure выберите ресурс служб ИИ, а затем выберите __Resource Management, Identity и System Assigned.

3. Чтобы создать управляемое удостоверение для ресурса служб ИИ, задайте для параметра "Состояние включено". Выберите Сохранить, чтобы применить изменения.

   

4. Чтобы отключить доступ к общедоступной сети, выберите "Сеть", "Брандмауэры" и "Виртуальные сети", а затем установите для параметра "Разрешить доступ" в " Отключено". В разделе "Исключения" убедитесь, что разрешены службы Azure в списке доверенных служб. Выберите Сохранить, чтобы применить изменения.

   

5. Чтобы создать частную конечную точку для ресурса служб ИИ, выберите сети, подключения к частной конечной точке и выберите +Частная конечная точка. Эта частная конечная точка используется для безопасного взаимодействия клиентов в Azure виртуальная сеть с ресурсом служб ИИ. Дополнительные сведения об использовании частных конечных точек со службами ИИ Azure см. в статье "Использование частных конечных точек".

   

   1. На вкладке "Основные сведения" введите уникальное имя частной конечной точки, сетевого интерфейса и выберите регион, в который нужно создать частную конечную точку.
   2. На вкладке "Ресурс" примите целевой подресурс учетной записи.
   3. На вкладке виртуальная сеть выберите Azure виртуальная сеть, к которым подключается частная конечная точка. Эта сеть должна быть той же, к к которому подключаются ваши клиенты, и что центр Azure AI Foundry имеет подключение к частной конечной точке.
   4. На вкладке DNS выберите значения по умолчанию для параметров DNS.
   5. Перейдите на вкладку "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы создать частную конечную точку.

6. В настоящее время вы не можете отключить локальную проверку подлинности (общий ключ) в службах ИИ Azure через портал Azure. Вместо этого можно использовать следующий командлет Azure PowerShell :

   Set-AzCognitiveServicesAccount -resourceGroupName "resourceGroupName" -name "AIServicesAccountName" -disableLocalAuth $true
   

   Дополнительные сведения см. в статье "Отключение локальной проверки подлинности" в службах ИИ Azure.

Настройка поиска по искусственному интеллекту Azure

Возможно, вам потребуется использовать индекс поиска ИИ Azure, если требуется:

• Настройте процесс создания индекса.
• Повторно используйте индекс, созданный до приема данных из других источников данных.

Чтобы использовать существующий индекс, он должен иметь по крайней мере одно поле для поиска. Убедитесь, что при использовании векторного поиска сопоставляется по крайней мере один допустимый столбец вектора. 

Внимание

Сведения в этом разделе применимы только для защиты ресурса поиска ИИ Azure для использования с Azure AI Foundry. Если вы используете поиск ИИ Azure для других целей, может потребоваться настроить дополнительные параметры. Дополнительные сведения о настройке поиска ИИ Azure см. в следующих статьях:

• Настройка правил сетевого доступа и брандмауэра
• Включение или отключение управления доступом на основе ролей
• Настройка службы поиска для подключения с помощью управляемого удостоверения

1. Если у вас нет существующего ресурса поиска ИИ Azure для центра Azure AI Foundry, создайте его.

2. В портал Azure выберите ресурс поиска ИИ, а затем выберите "Параметры", "Удостоверение" и "Система".

3. Чтобы создать управляемое удостоверение для ресурса поиска ИИ, задайте для параметра "Состояние включено". Выберите Сохранить, чтобы применить изменения.

   

4. Чтобы отключить доступ к общедоступной сети, выберите "Параметры", "Сеть" и "Брандмауэры" и "Виртуальные сети". Задайте для общедоступного сетевого доступа значение "Отключено". В разделе "Исключения" убедитесь, что разрешены службы Azure в списке доверенных служб. Выберите Сохранить, чтобы применить изменения.

   

5. Чтобы создать частную конечную точку для ресурса поиска ИИ, выберите "Сеть", подключения к частной конечной точке и нажмите кнопку "Создать частную конечную точку".

   

   1. На вкладке "Основные сведения" введите уникальное имя частной конечной точки, сетевого интерфейса и выберите регион, в который нужно создать частную конечную точку.
   2. На вкладке "Ресурс " выберите подписку , содержащую ресурс, задайте тип ресурса Microsoft.Search/searchServices и выберите ресурс поиска ИИ Azure. Единственным доступным подресурсом является searchService.
   3. На вкладке виртуальная сеть выберите Azure виртуальная сеть, к которым подключается частная конечная точка. Эта сеть должна быть той же, к к которому подключаются ваши клиенты, и что центр Azure AI Foundry имеет подключение к частной конечной точке.
   4. На вкладке DNS выберите значения по умолчанию для параметров DNS.
   5. Перейдите на вкладку "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы создать частную конечную точку.

6. Чтобы включить доступ к API на основе элементов управления доступом на основе ролей, выберите "Параметры", "Ключи", а затем задайте для управления доступом на основе ролей управление доступом на основе ролей или оба. Нажмите кнопку _Да , чтобы применить изменения.

   Примечание.

   Выберите оба , если у вас есть другие службы, использующие ключ для доступа к поиску ИИ Azure. Выберите управление доступом на основе ролей, чтобы отключить доступ на основе ключей.

   

Настройка служба хранилища Azure (только прием)

Если вы используете служба хранилища Azure для сценария приема с помощью игровой площадки портала Azure AI Foundry, необходимо настроить учетную запись служба хранилища Azure.

1. Создание ресурса учетной записи хранения

2. В портал Azure выберите ресурс учетной записи хранения, а затем выберите "Безопасность + сеть", "Сеть" и "Брандмауэры" и "Виртуальные сети".

3. Чтобы отключить доступ к общедоступной сети и разрешить доступ из доверенных служб, задайте для общедоступного сетевого доступа значение "Включено" из выбранных виртуальных сетей и IP-адресов. В разделе "Исключения" убедитесь, что разрешены службы Azure в списке доверенных служб.

   

4. Задайте для доступа к общедоступной сети значение "Отключено" , а затем нажмите кнопку "Сохранить ", чтобы применить изменения. Конфигурация для разрешения доступа из доверенных служб по-прежнему включена.

5. Чтобы создать частную конечную точку для служба хранилища Azure, выберите "Сеть", "Подключения к частной конечной точке", а затем выберите "+ Частная конечная точка".

   

   1. На вкладке "Основные сведения" введите уникальное имя частной конечной точки, сетевого интерфейса и выберите регион, в который нужно создать частную конечную точку.
   2. На вкладке "Ресурс" задайте для целевого подресурс большого двоичного объекта.
   3. На вкладке виртуальная сеть выберите Azure виртуальная сеть, к которым подключается частная конечная точка. Эта сеть должна быть той же, к к которому подключаются ваши клиенты, и что центр Azure AI Foundry имеет подключение к частной конечной точке.
   4. На вкладке DNS выберите значения по умолчанию для параметров DNS.
   5. Перейдите на вкладку "Просмотр и создание", а затем нажмите кнопку "Создать ", чтобы создать частную конечную точку.

6. Повторите предыдущий шаг, чтобы создать частную конечную точку, однако на этот раз задайте целевой вложенный ресурс в файл. Предыдущая частная конечная точка обеспечивает безопасное взаимодействие с хранилищем BLOB-объектов, и эта частная конечная точка обеспечивает безопасное взаимодействие с хранилищем файлов.

7. Чтобы отключить локальную проверку подлинности (общий ключ) в хранилище, выберите "Конфигурация" в разделе "Параметры". Задайте для параметра Allow account key access to Disabled, а затем нажмите кнопку "Сохранить ", чтобы применить изменения. Дополнительные сведения см. в статье "Запрет авторизации с общим ключом".

Настройка Azure Key Vault

Azure AI Foundry использует Azure Key Vault для безопасного хранения секретов и управления ими. Чтобы разрешить доступ к хранилищу ключей из доверенных служб, выполните следующие действия.

Примечание.

В этих шагах предполагается, что хранилище ключей уже настроено для сетевой изоляции при создании Azure AI Foundry Hub.

1. В портал Azure выберите ресурс Key Vault, а затем выберите параметры, сети и брандмауэры и виртуальные сети.
2. В разделе исключений страницы убедитесь, что включена поддержка доверенного службы Майкрософт для обхода брандмауэра.

Настройка подключений для использования идентификатора Microsoft Entra

Подключения из Azure AI Foundry к службам ИИ Azure и поиску ИИ Azure должны использовать идентификатор Microsoft Entra для безопасного доступа. Подключения создаются из Azure AI Foundry вместо портал Azure.

Внимание

Использование идентификатора Microsoft Entra с поиском ИИ Azure в настоящее время является функцией предварительной версии. Дополнительные сведения о подключениях см. в статье "Добавление подключений ".

1. в Azure AI Foundry выберите "Подключения". Если у вас есть подключения к ресурсам, вы можете выбрать подключение и выбрать значок карандаша в разделе сведений о access, чтобы обновить подключение. Задайте для поля проверки подлинности идентификатор Microsoft Entra ID, а затем нажмите кнопку "Обновить".
2. Чтобы создать новое подключение, нажмите кнопку +Создать подключение, а затем выберите тип ресурса. Найдите ресурс или введите необходимые сведения, а затем задайте для проверки подлинности идентификатор Microsoft Entra. Нажмите кнопку "Добавить подключение", чтобы создать подключение.

Повторите эти действия для каждого ресурса, к которому требуется подключиться с помощью идентификатора Microsoft Entra.

Назначение ролей ресурсам и пользователям

Службы должны авторизовать друг друга для доступа к подключенным ресурсам. Администратор, выполняющий настройку, должен иметь роль владельца для этих ресурсов, чтобы добавить назначения ролей. В следующей таблице перечислены необходимые назначения ролей для каждого ресурса. Столбец Assignee ссылается на управляемое удостоверение, назначаемое системой указанного ресурса. Столбец ресурсов ссылается на ресурс, к которому должен получить доступ получатель. Например, поиск azure AI имеет управляемое удостоверение, назначаемое системой, которое должно быть назначено роли участника данных BLOB-объектов хранилища для учетной записи служба хранилища Azure.

Дополнительные сведения о назначении ролей см. в руководстве . Предоставление пользователю доступа к ресурсам.

Ресурс	Роль	Уполномоченный	Description
Поиск с использованием ИИ Azure	Участник данных индекса поиска	Службы ИИ Azure/OpenAI	Доступ на чтение и запись к содержимому в индексах. Импорт, обновление или запрос коллекции документов индекса. Используется только для приема и вывода сценариев.
Поиск с использованием ИИ Azure	Читатель данных индекса поиска	Службы ИИ Azure/OpenAI	Служба вывода запрашивает данные из индекса. Используется только для сценариев вывода.
Поиск с использованием ИИ Azure	Участник службы поиска	Службы ИИ Azure/OpenAI	Доступ на чтение и запись к определениям объектов (индексы, псевдонимы, карты синонимов, индексаторы, источники данных и наборы навыков). Служба вывода запрашивает схему индекса для автоматического сопоставления полей. Служба приема данных создает индекс, источники данных, набор навыков, индексатор и запрашивает состояние индексатора.
Службы ИИ Azure/OpenAI	Участник служб Cognitive Services	Поиск с использованием ИИ Azure	Разрешить поиску создавать, читать и обновлять ресурс служб ИИ.
Службы ИИ Azure/OpenAI	Участник службы OpenAI в Cognitive Services	Поиск с использованием ИИ Azure	Разрешить поиску возможность точно настроить, развернуть и создать текст
Учетная запись хранения Azure	Участник данных хранилища BLOB-объектов	Поиск с использованием ИИ Azure	Считывает большой двоичный объект и записывает хранилище знаний.
Учетная запись хранения Azure	Участник данных хранилища BLOB-объектов	Службы ИИ Azure/OpenAI	Считывает из входного контейнера и записывает результат предварительной обработки в выходной контейнер.
частная конечная точка Хранилище BLOB-объектов Azure	Читатель	Проект Azure AI Foundry	Для проекта Azure AI Foundry с управляемой сетью, включенной для доступа к хранилищу BLOB-объектов в среде с ограниченным доступом к сети
Модель ресурсов Azure OpenAI для чата	Пользователь службы OpenAI в Cognitive Services	Ресурс Azure OpenAI для внедрения модели	[Необязательно] Требуется только при использовании двух ресурсов Azure OpenAI для обмена данными.

Примечание.

Роль пользователя OpenAI в Cognitive Services требуется только в том случае, если вы используете два ресурса Azure OpenAI: один для модели чата и один для модели внедрения. Если это применимо, включите доверенные службы и убедитесь, что подключение для внедренной модели Azure OpenAI с поддержкой EntraID.

Назначение ролей разработчикам

Чтобы разработчики могли использовать эти ресурсы для создания приложений, назначьте следующие роли удостоверениям разработчика в идентификаторе Microsoft Entra ID. Например, назначьте роль участника службы поиска идентификатору Microsoft Entra разработчика для ресурса поиска ИИ Azure.

Дополнительные сведения о назначении ролей см. в руководстве . Предоставление пользователю доступа к ресурсам.

Ресурс	Роль	Уполномоченный	Description
Поиск с использованием ИИ Azure	Участник служб поиска	Идентификатор Microsoft Entra разработчика	Перечисление API-ключей для перечисления индексов из Azure OpenAI Studio.
Поиск с использованием ИИ Azure	Участник данных индекса поиска	Идентификатор Microsoft Entra разработчика	Требуется для сценария индексирования.
Службы ИИ Azure/OpenAI	Участник службы OpenAI в Cognitive Services	Идентификатор Microsoft Entra разработчика	Вызов общедоступного API приема из Azure OpenAI Studio.
Службы ИИ Azure/OpenAI	Участник служб Cognitive Services	Идентификатор Microsoft Entra разработчика	Вывод списка ключей API из Azure OpenAI Studio.
Службы ИИ Azure/OpenAI	Участник	Идентификатор Microsoft Entra разработчика	Позволяет вызывать плоскость управления.
Учетная запись хранения Azure	Участник	Идентификатор Microsoft Entra разработчика	Вывод списка SAS учетной записи для отправки файлов из Azure OpenAI Studio.
Учетная запись хранения Azure	Участник данных хранилища BLOB-объектов	Идентификатор Microsoft Entra разработчика	Требуется разработчикам для чтения и записи в хранилище BLOB-объектов.
Учетная запись хранения Azure	Привилегированный участник файловых данных хранилища	Идентификатор Microsoft Entra разработчика	Требуется для доступа к общей папке в хранилище для данных запроса.
Группа ресурсов или подписка Azure, в которой разработчик должен развернуть веб-приложение в	Участник	Идентификатор Microsoft Entra разработчика	Разверните веб-приложение в подписке Разработчика Azure.

Использование данных на портале AI Foundry

Теперь данные, добавляемые в AI Foundry, защищены в изолированной сети, предоставляемой центром и проектом Azure AI Foundry. Пример использования данных см. в руководстве по созданию вопроса и ответа copilot .

Развертывание веб-приложений

Дополнительные сведения о настройке развертываний веб-приложений см. в статье "Использование Azure OpenAI" в вашей статье.

Ограничения

При использовании игровой площадки чата на портале Azure AI Foundry не перейдите на другую вкладку в Студии. Если вы перейдете на другую вкладку, при возвращении на вкладку чата необходимо удалить данные и добавить его обратно.

Связанный контент

• Руководство по развертыванию корпоративного веб-приложения чата
• Настройка управляемой сети