在 Azure AI Foundry 入口網站中使用自定義原則控制 AI 模型部署

從 Azure AI 服務和 Azure OpenAI 搭配 Azure AI Foundry 使用模型時，您可能需要使用自定義原則來控制開發人員可以部署的模型。 自定義 Azure 原則可讓您建立符合組織獨特需求的原則定義。 本文說明如何建立並指派範例自定義原則來控制模型部署。

必要條件

• Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，請在開始前建立免費帳戶。
• 建立和指派原則的許可權。 若要建立和指派原則，您必須是 Azure 訂用帳戶或資源群組層級的擁有者 或 資源原則參與者 。
• 熟悉 Azure 原則。 若要深入瞭解，請參閱什麼是 Azure 原則？。

建立自訂原則

1. 從 Azure 入口網站，從頁面左側選取 [原則]。 您也可以在頁面頂端的搜尋列中搜尋原則。

2. 從 [Azure 原則 儀錶板] 左側，選取 [撰寫]、[定義]，然後從頁面頂端選取 [+ 原則定義]。

3. 在 [原則 定義 ] 表單中，使用下列值：

   • 定義位置：選取您要儲存原則定義的訂用帳戶或管理群組。

   • 名稱：輸入原則定義的唯一名稱。 例如： Custom allowed Azure AI services and Azure OpenAI models 。

   • 描述：輸入原則定義的描述。

   • 類別：您可以建立新的類別或使用現有的類別。 例如，「AI 模型控管」。

   • 原則規則：以 JSON 格式輸入原則規則。 下列範例顯示允許部署特定 Azure AI 服務和 Azure OpenAI 模型的原則規則：

     提示

     Azure AI 服務最初命名為 Azure 認知服務。 Azure 仍會在內部使用此名稱，例如您在此自定義原則中看到的值 Microsoft.CognitiveServices。 Azure OpenAI 是 Azure AI 服務的一部分，因此此原則也適用於 Azure OpenAI 模型。

     {
           "mode": "All",
           "policyRule": {
             "if": {
               "allOf": [
                 {
                   "field": "type",
                   "equals": "Microsoft.CognitiveServices/accounts/deployments"
                 },
                 {
                   "not": {
                     "value": "[concat(field('Microsoft.CognitiveServices/accounts/deployments/model.name'), ',', field('Microsoft.CognitiveServices/accounts/deployments/model.version'))]",
                     "in": "[parameters('allowedModels')]"
                   }
                 }
               ]
             },
             "then": {
               "effect": "deny"
             }
           },
           "parameters": {
             "allowedModels": {
               "type": "Array",
               "metadata": {
                 "displayName": "Allowed AI models",
                 "description": "The list of allowed models to be deployed."
               }
             }
           }
     }
     

4. 選取 [ 儲存 ] 以儲存原則定義。 儲存之後，您會到達原則定義的概觀頁面。

5. 從原則定義的 [概觀] 頁面中，選取 [ 指派原則 ] 以指派原則定義。

6. 從 [指派原則] 頁面，使用 [基本] 索引標籤上的下列值：

   • 範圍：選取您要指派原則的範圍。 範圍可以是管理群組、訂用帳戶或資源群組。
   • 原則定義：此欄位會預先填入您先前建立的原則定義標題。
   • 指派名稱：輸入指派的唯一名稱。
   • 原則強制執行：確定 [原則強制執行] 字段設定為 [已啟用]。 如果未啟用，則不會強制執行原則。

   選取 頁面底部的 [下一步 ]，或頁面頂端的 [ 參數] 索引卷標。

7. 從 [參數] 索引標籤，將 [允許的 AI 模型] 設定為您想要允許的模型清單。 此清單應該是以逗號分隔的模型名稱和核准版本清單，並以方括弧括住。 例如： ["gpt-4,0613", "gpt-35-turbo,0613"] 。

   提示

   您可以在 Azure AI Foundry 模型目錄中找到模型名稱和其版本。 選取模型以檢視詳細數據，然後在標題中複製模型名稱和其版本。

8. 或者，選取 頁面頂端的 [不符合規範的郵件 ] 索引卷標，並設定不符合規範的自定義訊息。

9. 選取 [ 檢閱 + 建立] 索引標籤，並確認原則指派正確無誤。 準備好時，選取 [ 建立] 以指派原則。

10. 通知開發人員原則已就緒。 如果嘗試部署不在允許模型清單中的模型，他們會收到錯誤訊息。

確認原則指派

若要確認已指派原則，請流覽至 Azure 入口網站 中的 [原則]，然後選取 [撰寫] 底下的 [指派]。 您應該會看到列出的原則。

監視合規性

若要監視原則的合規性，請遵循下列步驟：

1. 從 Azure 入口網站，從頁面左側選取 [原則]。 您也可以在頁面頂端的搜尋列中搜尋原則。
2. 從 [Azure 原則 儀錶板] 左側，選取 [合規性]。 每個原則指派都會以合規性狀態列出。 若要檢視更多詳細數據，請選取原則指派。

更新原則指派

若要使用新模型更新現有的原則指派，請遵循下列步驟：

1. 從 Azure 入口網站，從頁面左側選取 [原則]。 您也可以在頁面頂端的搜尋列中搜尋原則。
2. 從 [Azure 原則 儀錶板] 左側，選取 [指派]，然後尋找現有的原則指派。 選取指派旁邊的省略號 （...），然後選取 [ 編輯指派]。
3. 從 [ 參數] 索引標籤，使用新的模型更新 [允許的模型 ] 參數。
4. 從 [ 檢閱 + 儲存 ] 索引標籤中，選取 [ 儲存 ] 以更新原則指派。

最佳作法

• 取得模型名稱：使用 Azure AI Foundry 模型目錄，然後選取模型以檢視詳細數據。 在標題中搭配原則使用模型名稱。
• 細微範圍界定：在適當的範圍指派原則，以平衡控制和彈性。 例如，在訂用帳戶層級套用以控制訂用帳戶中的所有資源，或在資源群組層級套用以控制特定群組中的資源。
• 原則命名：針對原則指派使用一致的命名慣例，可讓您更輕鬆地識別原則的用途。 在名稱中包含目的和範圍等資訊。
• 檔：保留原則指派和設定的記錄以供稽核之用。 記錄一段時間對原則所做的任何變更。
• 定期檢閱：定期檢閱原則指派，以確保它們符合貴組織的需求。
• 測試：在將原則套用至生產資源之前，先在非生產環境中測試原則。
• 通訊：請確定開發人員已準備好原則，並瞭解其工作的影響。

相關內容

• Azure 原則概觀
• Azure AI Foundry 模型目錄
• Azure AI 服務文件