Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure OpenAI unterstützt die rollenbasierte Zugriffssteuerung (Azure RBAC), ein Autorisierungssystem für die Verwaltung des individuellen Zugriffs auf Azure-Ressourcen. Mithilfe der Azure RBAC können Sie verschiedenen Teammitgliedern unterschiedliche Berechtigungsebenen basierend auf ihren Anforderungen für ein bestimmtes Projekt zuweisen. Weitere Information finden Sie in der Azure RBAC-Dokumentation.
Hinzufügen einer Rollenzuweisung zu einer Azure OpenAI-Ressource
Azure RBAC kann einer Azure OpenAI-Ressource zugewiesen werden. Wenn Sie Zugriff auf eine Azure-Ressource gewähren möchten, fügen Sie eine Rollenzuweisung hinzu.
In the Azure portal, search for Azure OpenAI.
Select Azure OpenAI, and navigate to your specific resource.
Note
Sie können die Azure RBAC auch für ganze Ressourcengruppen, Abonnements oder Verwaltungsgruppen einrichten. Wählen Sie hierzu die gewünschte Bereichsebene aus, und navigieren Sie dann zum gewünschten Element. For example, selecting Resource groups and then navigating to a specific resource group.
Wählen Sie im linken Bereich die Zugriffssteuerung (IAM) aus.
Select Add, then select Add role assignment.
On the Role tab on the next screen, select a role you want to add.
On the Members tab, select a user, group, service principal, or managed identity.
Wählen Sie auf der Registerkarte Überprüfen und zuweisen die Option Überprüfen und zuweisen aus, um die Rolle zuzuweisen.
Innerhalb weniger Minuten wird dem Ziel die ausgewählte Rolle für den ausgewählten Bereich zugewiesen. Hilfe zu diesen Schritten finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Azure OpenAI-Rollen
- Cognitive Services OpenAI-Benutzer
- Cognitive Services OpenAI-Mitwirkender
- Mitwirkender für Cognitive Services
- Cognitive Services-Nutzungsleser
Note
Subscription level Owner and Contributor roles are inherited and take priority over the custom Azure OpenAI roles applied at the Resource Group level.
In diesem Abschnitt werden allgemeine Aufgaben behandelt, die von verschiedenen Konten und Kontenkombinationen für Azure OpenAI-Ressourcen ausgeführt werden können. To view the full list of available Actions and DataActions, an individual role is granted from your Azure OpenAI resource go Access control (IAM)>Roles> Under the Details column for the role you're interested in select View. By default the Actions radial button is selected. You need to examine both Actions and DataActions to understand the full scope of capabilities assigned to a role.
Kognitive Dienste OpenAI-Nutzer
Wenn einem Benutzer für eine Azure OpenAI-Ressource rollenbasierter Zugriff nur auf diese Rolle gewährt würde, könnte er die folgenden allgemeinen Aufgaben ausführen:
✅ View the resource in Azure portal
✅ Anzeigen des Ressourcenendpunkts unter Schlüssel und Endpunkt
✅ Möglichkeit zum Anzeigen der Ressourcen- und zugehörigen Modellbereitstellungen im Azure AI Foundry-Portal.
✅ Möglichkeit, anzuzeigen, welche Modelle für die Bereitstellung im Azure AI Foundry-Portal verfügbar sind.
✅ Verwenden der Chat-, Completions- und DALL-E-Playgrounderfahrungen (Vorschau), um Texte und Bilder mit sämtlichen Modellen zu generieren, die bereits für diese Azure OpenAI-Ressource bereitgestellt wurden
✅ Durchführen von Rückschluss-API-Aufrufen mit Microsoft Entra ID.
Ein Benutzer, dem nur diese Rolle zugewiesen ist, könnte Folgendes nicht tun:
❌ Erstellen neuer Azure OpenAI-Ressourcen
❌ Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
❌ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierung
❌ Erstellen/Bereitstellen vom Benutzer optimierter Modelle
❌ Hochladen von Datasets zur Optimierung
❌ Anzeigen, Abfragen, Filtern gespeicherter Abschlussdaten
❌ Zugreifen auf Kontingente
❌ Erstellen von benutzerdefinierten Inhaltsfiltern
Cognitive Services OpenAI-Mitwirkender
Diese Rolle verfügt über alle Berechtigungen des Cognitive Services OpenAI-Benutzers und ist auch in der Lage, zusätzliche Aufgaben auszuführen, z. B.:
✅ Erstellen von vom Benutzer optimierten Modellen
✅ Hochladen von Datasets zur Optimierung
✅ Anzeigen, Abfragen, Filtern gespeicherter Abschlussdaten
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen [Hinzugefügt Herbst 2023]
✅ Gewähren des Zugriffs auf die Assistenten-API
✅ Fügen Sie Datenquellen zu Azure OpenAI für Ihre Daten hinzu.
Ein Benutzer, dem nur diese Rolle zugewiesen ist, könnte Folgendes nicht tun:
❌ Erstellen neuer Azure OpenAI-Ressourcen
❌ Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
❌ Zugreifen auf Kontingente
❌ Erstellen benutzerdefinierter Inhaltsfilter
Mitwirkender für Cognitive Services
Dieser Rolle wird in der Regel Zugriff auf der Ressourcengruppenebene für einen Benutzer in Verbindung mit zusätzlichen Rollen gewährt. Für sich allein würde diese Rolle es einem Benutzer ermöglichen, die folgenden Aufgaben auszuführen.
✅ Erstellen neuer Azure OpenAI-Ressourcen innerhalb der zugewiesenen Ressourcengruppe
✅ View resources in the assigned resource group in the Azure portal.
✅ Anzeigen des Ressourcenendpunkts unter Schlüssel und Endpunkt
✅ Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt
✅ Möglichkeit zum Anzeigen der verfügbaren Modelle für die Bereitstellung im Azure AI Foundry-Portal
✅ Verwenden der Chat-, Completions- und DALL-E-Playground oberfläche (Vorschau), um Texte und Bilder mit sämtlichen Modellen zu generieren, die bereits für diese Azure OpenAI-Ressource bereitgestellt wurden
✅ Erstellen benutzerdefinierter Inhaltsfilter
✅ Fügen Sie Datenquellen zu Azure OpenAI für Ihre Daten hinzu.
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen (über API)
✅ Erstellen von vom Benutzer optimierten Modellen [Hinzugefügt Herbst 2023]
✅ Hochladen von Datasets zur Optimierung[Hinzugefügt Herbst 2023]
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen (über Azure KI Foundry)[Hinzugefügt Herbst 2023]
✅ Anzeigen, Abfragen, Filtern gespeicherter Abschlussdaten
Ein Benutzer, dem nur diese Rolle zugewiesen ist, könnte Folgendes nicht tun:
❌ Zugreifen auf Kontingente
❌ Durchführen von Rückschluss-API-Aufrufen mit Microsoft Entra ID.
Cognitive Services-Nutzungsleser
Zum Anzeigen von Kontingenten wird die Rolle Cognitive Services-Nutzungsleser benötigt. Diese Rolle bietet den minimal erforderlichen Zugriff, um die Kontingentnutzung für ein Azure-Abonnement anzuzeigen.
This role can be found in the Azure portal under Subscriptions> *Access control (IAM)>Add role assignment> search for Cognitive Services Usages Reader. Die Rolle muss auf Abonnementebene angewendet werden, sie ist auf Ressourcenebene nicht vorhanden.
If you don't wish to use this role, the subscription Reader role provides equivalent access, but it also grants read access beyond the scope of what is needed for viewing quota. Die Modellbereitstellung über das Azure AI Foundry-Portal hängt auch teilweise vom Vorhandensein dieser Rolle ab.
Diese Rolle hat an sich nur einen geringen Wert und wird stattdessen in der Regel in Kombination mit einer oder mehreren der zuvor beschriebenen Rollen zugewiesen.
Cognitive Services-Nutzungsleser und Cognitive Services OpenAI-Benutzer
Alle Funktionen von Cognitive Services OpenAI-Benutzer*innen sowie folgende Möglichkeiten:
✅ Anzeigen von Kontingentzuweisungen im Azure AI Foundry-Portal
Cognitive Services-Nutzungsleser und Cognitive Services OpenAI-Mitwirkender
Alle Funktionen von Cognitive Services OpenAI-Mitwirkender sowie folgende Möglichkeiten:
✅ Anzeigen von Kontingentzuweisungen im Azure AI Foundry-Portal
Cognitive Services-Nutzungsleser und Cognitive Services-Mitwirkender
Alle Funktionen von Cognitive Services OpenAI-Mitwirkender sowie folgende Möglichkeiten:
✅ Anzeigen und Bearbeiten von Kontingentzuweisungen im Azure AI Foundry-Portal
✅ Erstellen neuer oder Bearbeiten vorhandener Modellimplementierungen (über Azure KI Foundry)
Summary
| Permissions | Kognitive Dienste OpenAI-Nutzer | Cognitive Services OpenAI-Mitwirkender | Mitwirkender für Cognitive Services | Cognitive Services-Nutzungsleser |
|---|---|---|---|---|
| Anzeigen der Ressource im Azure-Portal | ✅ | ✅ | ✅ | ➖ |
| Anzeigen des Ressourcenendpunkts unter Schlüssel und Endpunkt | ✅ | ✅ | ✅ | ➖ |
| Ressourcen und zugehörige Modellbereitstellungen im Azure AI Foundry-Portal anzeigen | ✅ | ✅ | ✅ | ➖ |
| Anzeigen, welche Modelle für die Bereitstellung im Azure AI Foundry-Portal verfügbar sind | ✅ | ✅ | ✅ | ➖ |
| Verwenden der Chat-, Completions- und DALL-E-Playground oberfläche (Vorschau) mit sämtlichen Modellen, die bereits für diese Azure OpenAI-Ressource bereitgestellt wurden. | ✅ | ✅ | ✅ | ➖ |
| Erstellen oder Bearbeiten von Modellimplementierungen | ❌ | ✅ | ✅ | ➖ |
| Erstellen oder Bereitstellen von benutzerdefinierten optimierten Modellen | ❌ | ✅ | ✅ | ➖ |
| Hochladen von Datasets zur Optimierung | ❌ | ✅ | ✅ | ➖ |
| Anzeigen, Abfragen, Filtern gespeicherter Daten | ❌ | ✅ | ✅ | ➖ |
| Erstellen neuer Azure OpenAI-Ressourcen | ❌ | ❌ | ✅ | ➖ |
| Anzeigen/Kopieren/Generieren von Schlüsseln unter Schlüssel und Endpunkt | ❌ | ❌ | ✅ | ➖ |
| Erstellen benutzerdefinierter Inhaltsfilter | ❌ | ❌ | ✅ | ➖ |
| Hinzufügen einer Datenquelle für das „Datenfeature“ | ✅ | ✅ | ✅ | ➖ |
| Access quota | ❌ | ❌ | ❌ | ✅ |
| Durchführen von Rückschluss-API-Aufrufen mit Microsoft Entra ID. | ✅ | ✅ | ❌ | ➖ |
Common Issues
Die Option „Azure Cognitive Search“ kann im Azure KI Foundry-Portal nicht angezeigt werden
Issue:
Beim Auswählen einer vorhandenen Azure Cognitive Search-Ressource werden die Suchindizes nicht geladen, und die Ladeanzeige (Rad) dreht sich ununterbrochen weiter. Wechseln Sie im Azure AI Foundry-Portal unter "Assistent einrichten" zu " Playground Chat>Hinzufügen Ihrer Daten (Vorschau) ". Wenn Sie Datenquelle hinzufügen auswählen, wird ein modales Dialogfeld geöffnet, mit dem Sie eine Datenquelle entweder über Azure Cognitive Search oder über Blob Storage hinzufügen können. Wenn Sie die Option „Azure Cognitive Search“ und eine vorhandene Cognitive Search-Ressource auswählen, sollten die verfügbaren Azure Cognitive Search-Indizes geladen werden, aus denen Sie auswählen können.
Root cause
Um einen generischen API-Aufruf zum Auflisten von Azure Cognitive Search-Diensten auszuführen, nutzen Sie den folgenden Aufruf:
https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Search/searchServices?api-version=2021-04-01-Preview
Ersetzen Sie {subscriptionId} durch Ihre Abonnement-ID.
For this API call, you need a subscription-level scope role. You can use the Reader role for read-only access or the Contributor role for read-write access. Wenn Sie nur Zugriff auf Azure Cognitive Search-Dienste benötigen, können Sie die Rollen Azure Cognitive Search-Dienstmitwirkender oder Azure Cognitive Search-Dienstleser verwenden.
Solution options
Wenden Sie sich an Ihren Abonnementadministrator oder -besitzer: Wenden Sie sich an die Person, die Ihr Azure-Abonnement verwaltet, und fordern Sie den entsprechenden Zugriff an. Erläutern Sie Ihre Anforderungen und die spezifische Rolle, die Sie benötigen (z. B. Leser, Mitwirkender, Azure Cognitive Search-Dienstmitwirkender oder Azure Cognitive Search-Dienstleser).
Fordern Sie den Zugriff auf Abonnement- oder Ressourcengruppenebene an: Wenn Sie Zugriff auf bestimmte Ressourcen benötigen, bitten Sie den Abonnementbesitzer, Ihnen Zugriff auf der entsprechenden Ebene (Abonnement oder Ressourcengruppe) zu gewähren. Dadurch können Sie die erforderlichen Aufgaben ausführen, ohne Zugriff auf nicht zugehörige Ressourcen zu erhalten.
Verwenden Sie API-Schlüssel für Azure Cognitive Search: Wenn Sie nur mit dem Azure Cognitive Search-Dienst interagieren müssen, können Sie vom Abonnementbesitzer die Administrator- oder Abfrageschlüssel anfordern. Mit diesen Schlüsseln können Sie API-Aufrufe direkt an den Suchdienst tätigen, ohne eine Azure RBAC-Rolle zu benötigen. Keep in mind that using API keys will bypass the Azure RBAC access control, so use them cautiously and follow security best practices.
Dateien können im Azure KI Foundry-Portal für das Feature „Für Ihre Daten“ nicht hochgeladen werden
Symptom: Unable to access storage for the on your data feature using Azure AI Foundry.
Root cause:
Unzureichender Zugriff auf der Abonnementebene für den Benutzer, der versucht, auf den BLOB-Speicher im Azure AI Foundry-Portal zuzugreifen. The user may not have the necessary permissions to call the Azure Management API endpoint: https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Storage/storageAccounts/{accountName}/listAccountSas?api-version=2022-09-01
Der öffentliche Zugriff auf den Blobspeicher ist vom Besitzer des Azure-Abonnements aus Sicherheitsgründen deaktiviert.
Erforderliche Berechtigungen für den API-Aufruf: **Microsoft.Storage/storageAccounts/listAccountSas/action:** Mit dieser Berechtigung kann der Benutzer die SAS-Token (Shared Access Signature) für das angegebene Speicherkonto auflisten.
Possible reasons why the user may not have permissions:
- Dem Benutzer wurde eine eingeschränkte Rolle im Azure-Abonnement zugewiesen, die nicht die erforderlichen Berechtigungen für den API-Aufruf umfasst.
- Die Rolle des Benutzers wurde aufgrund von Sicherheitsbedenken oder Organisationsrichtlinien vom Abonnementbesitzer oder -administrator eingeschränkt.
- Die Rolle des Benutzers wurde kürzlich geändert, und die neue Rolle gewährt nicht die erforderlichen Berechtigungen.
Solution options
- Überprüfen und aktualisieren Sie die Zugriffsrechte: Stellen Sie sicher, dass der Benutzer über den entsprechenden Zugriff auf Abonnementebene verfügt, einschließlich der erforderlichen Berechtigungen für den API-Aufruf (Microsoft.Storage/storageAccounts/listAccountSas/action). Bitten Sie bei Bedarf den Abonnementbesitzer oder -administrator, die erforderlichen Zugriffsrechte zu erteilen.
- Bitten Sie den Besitzer oder Administrator um Unterstützung: Wenn die oben genannte Lösung nicht möglich ist, bitten Sie den Abonnementbesitzer oder -administrator, die Datendateien für Sie hochzuladen. This approach can help import the data into Azure AI Foundry without user requiring subscription-level access or public access to the blob storage.
Next steps
- Erste Schritte mit dem Azure OpenAI-Sicherheitsbaustein
- Erfahren Sie mehr über die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC).
- Sehen Sie sich auch den Artikel Zuweisen von Azure-Rollen über das Azure-Portal an.